Internet Server Consortium (ISC) memperingati para pengguna atas adanya dua kerentanan (vulnerabiliy) pada perangkat lunak server DNS buatan mereka BIND. BIND adalah sebuah server DNS yang paling banyak dipakai dan menjadi standar penerapan server DNS di Internet yang dikembangkan dan dikelola oleh ISC.

Dua kerentanan itu memungkinkan penyerang untuk meracuni cache pada DNS (cache poisoning) yang mengakibatkan BIND akan meneruskan hasil query DNS yang telah terpalsukan ke pengguna. Tercatat di basisdata CVE sebagai CVE-2025-40778 dan CVE-2025-40780. Kedua kerentanan ini mendapat skor 8.6 dengan severity level “HIGH” dan dapat diekspoitasi secara “remote”.

Versi terdampak

Bind

  • 9.16.0 -> 9.16.50
  • 9.18.0 -> 9.18.39
  • 9.20.0 -> 9.20.13
  • 9.21.0 -> 9.21.12

BIND Supported Preview Edition

  • 9.16.8-S1 -> 9.16.50-S1
  • 9.18.11-S1 -> 9.18.39-S1
  • 9.20.9-S1 -> 9.20.13-S1

Catatan: versi dibawah 9.11.0 tidak diperiksa tapi dipercayai juga terpengaruh oleh kerentanan ini.

Penanganan

Walau belum ditemukan adanya ekploitasi yang aktif di Internet atas kerentanan ini, akan tetapi pengguna BIND sangat disarankan untuk memperbaharui BIND ke versi:

  • 9.18.41
  • 9.18.41-S1
  • 9.20.15
  • 9.20.15-S1
  • 9.21.14

Kerentanan serupa pada Unbound

Secara terpisah, NLNETLABS juga memperingati akan kerentanan serupa pada perangkat lunak server DNS yang dikembangkan mereka: Unbound. Unbound sangat populer digunakan sebagai server recursive DNS di banyak organisasi dan para self-hosted homelab.

Kerentanan “cache poisoning” pada Unbound ini tercatat sebagai CVE-2025-11411 dengan skor 5.7 dan severity level “MEDIUM”.

Versi Unbound yang terdampak kerentanan ini adalah semua versi sebelum dan termasuk 1.24.0 dan diperbaiki pada versi 1.24.1. Semua pengguna Unbound sangat disarankan untuk segera memperbaharui ke versi 1.24.1.

Apa itu “DNS Cache Poisoning”?

Dikemukakan oleh peneliti bernama “Dan Kaminsky” pada 2008, penggunaan paket UDP pada DNS memungkinkan eksploitasi pada sistem DNS.

Kerentanan ini memungkinkan penyerang untuk meracuni server DNS dengan mengirimkan paket berisi informasi palsu ke server DNS. Misal penyerang mengirimkan informasi berupa IP palsu dari sebuah situs Internet Banking. Kurangnya validasi atas paket tersebut membuat server DNS mempercayai informasi palsu itu sebagai informasi valid dan menyimpannya di “cache” yang kemudian akan mengirimkan informasi yang tidak valid itu jika ada pengguna yang meminta informasi tersebut.