Der DNS-Server BIND weist drei Schwachstellen auf, die das Internet Systems Consortium (ISC), das die Software entwickelt, vergangene Woche gemeldet hat. Ein nun aufgetauchter Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch eines der Sicherheitslecks. Höchste Zeit für Admins, die von ihnen betreuten BIND-Server auf den neuesten Stand zu bringen.

Davor warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Dokument. Der PoC attackiert eine hochriskante Schwachstelle, sie „könnte es einem nicht-authentifizierten Angreifer ermöglichen, mittels Cache-Poisoning DNS-Einträge zu manipulieren und somit Internet-Traffic beliebig umzuleiten“ (CVE-2025-40778, CVSS 8.6, Risiko „hoch„). Das ISC erörtert in der eigenen Schwachstellenmeldung, dass „unter bestimmten Umständen BIND bei der Annahme von Datensätzen aus Antworten zu nachsichtig ist, sodass ein Angreifer gefälschte Daten in den Cache einschleusen kann“. Bislang sind noch keine aktiven Angriffe auf die Lücke bekannt.

Zwei weitere Sicherheitslecks in BIND

Neben dieser Sicherheitslücke, für die sogar ein PoC vorliegt, hat das ISC zwei weitere mit Softwareaktualisierungen geschlossen. Eine weitere ermöglicht ebenfalls Cache-Poisoning, was auf eine Schwäche des Zufallszahlengenerators (PRNG, Pseudo Random Number Generator) zurückgeht. Angreifer könnten dadurch Quellport und Query-ID vorhersehen, die BIND nutzen wird (CVE-2025-40780, CVSS 8.6, Risiko „hoch„). Die dritte Schwachstelle ermöglicht bösartigen Akteuren, den Dienst mit sorgsam präparierten DNSKEY-Eniträgen zur Auslastung der CPU zu bringen – eine Denial-of-Service-Lücke (CVE-2025-8677, CVSS 7.5, Risiko „hoch„).

Die Aktualisierung auf die Versionen BIND 9.18.41, 9.20.15 oder 9.21.14 oder neuere korrigiert die sicherheitsrelevanten Fehler im DNS-Server. IT-Verantwortliche sollen auf die der eigenen Version am nächsten verwandte Fassung updaten, schreibt das ISC. Das BSI erklärt in seiner Warnung: „Nach Angaben der Internet-Intelligence-Plattform Censys werden global über 700.000 BIND DNS-Server mit einer für die Schwachstelle verwundbare Version betrieben, davon knapp 40.000 allein in Deutschland“. Es empfiehlt daher: „IT-Sicherheitsverantwortliche sollten schnellstmöglich die Patchstände auf betriebenen BIND DNS-Server prüfen und – sofern erforderlich – die verfügbaren Updates einspielen.“

Bei BIND handelt es sich um eine recht ausgereifte Software. Zuletzt fiel eine Sicherheitslücke darin Anfang 2024 auf – sie bekam den Spitznamen „KeyTrap“ und sorgte für einen Denial-of-Service.

(dmk)

Den Zugang zu Online-Diensten mit einem Hardware-Dongle als zweiten Faktor zu schützen, ist aus Sicherheitssicht eine gute Idee. Wer das mit seinem Twitter-Konto gemacht hat, muss seinen FIDO-Stick nun jedoch neu anmelden, warnt das Sicherheitsteam des sozialen Netzes X nun.

Der Dienst schreibt: „Bis zum 10. November bitten wir alle Konten, die einen Sicherheitsschlüssel als Zwei-Faktor-Authentifizierungsmethode (2FA) verwenden, ihren Schlüssel neu zu registrieren, um weiterhin auf X zugreifen zu können. Sie können Ihren bestehenden Sicherheitsschlüssel neu registrieren oder einen neuen registrieren“. Der Dienst weist darauf hin, dass diejenigen, die einen neuen FIDO-Stick registrieren, den Zugriff mit allen anderen Sicherheitsschlüsseln verlieren, außer, diese werden ebenfalls neu registriert.

Ursache keine Sicherheitsprobleme

Die nötige Maßnahme gehe jedoch nicht auf etwaige Sicherheitsprobleme zurück, sondern hänge noch mit dem Wechsel des Angebots von „Twitter“ nach „X“ zusammen.

Es seien auch ausschließlich Yubikeys und Passkeys davon betroffen, führt X weiter aus. Andere Zwei-Faktor-Authentifizierungsmethoden etwa mit Authenticator-Apps funktionieren weiterhin.

X erklärt weiter: „Als 2FA-Methode registrierte Sicherheitsschlüssel sind derzeit an die Domain twitter.com gebunden. Durch die erneute Registrierung Ihres Sicherheitsschlüssels werden diese mit x.com verknüpft, sodass wir die Twitter-Domain außer Betrieb nehmen können.“

Betroffene Nutzer erhalten einen Hinweis, dass sie ihren Sicherheitsschlüssel neu anmelden sollen. Nutzerinnen und Nutzer können jedoch auch selbst aktiv werden und in den Sicherheitseinstellungen des Kontos „Anderen Schlüssel hinzufügen“ zum Neuregistrieren des FIDO-Sticks auswählen.

Mitte 2023 hatte Elon Musk das soziale Netzwerk Twitter übernommen und daraus den Dienst „X“ gemacht, was mehr als eine reine Umbenennung war. Die Arbeiten daran, die alte Domain Twitter loszuwerden, laufen offenbar immer noch.

(dmk)

Verschiedene Versionen von Proxmox Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als „hoch“ ein.

Von einer Schwachstelle ist ausschließlich der Proxmox-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)