El 21 de enero de 2026, el Internet Systems Consortium (ISC) divulgó la CVE-2025-13878, una vulnerabilidad de denegación de servicio (DoS) en BIND 9, el servidor DNS más utilizado de internet. El fallo recibe una puntuación CVSS de 7.5 (alta) y permite que un atacante remoto, sin autenticación ni interacción del usuario, provoque la caída del daemon named.
Qué es la vulnerabilidad
El problema reside en el manejo de dos tipos de registros DNS relativamente nuevos: HHIT (tipo 67) y BRID (tipo 68). Cuando named procesa un registro de estos tipos cuyo campo RDATA está malformado —en concreto, cuando contiene menos de tres octetos—, se dispara una aserción dentro de la función dns_rdata_towire(). Esa aserción aborta el proceso de forma abrupta, dejando el servicio DNS inoperativo.
Al tratarse de un fallo desencadenado simplemente al serializar (towire) un registro corrupto, basta con que el servidor procese datos manipulados para que termine inesperadamente. No se requieren credenciales ni configuraciones especiales más allá de tener activas las funciones afectadas.
A quién afecta
La vulnerabilidad afecta tanto a servidores autoritativos como a resolutores recursivos, lo que amplía considerablemente la superficie de exposición. Cualquier despliegue de BIND 9 que pueda recibir o servir registros HHIT/BRID malformados es vulnerable.
Las versiones afectadas, según el aviso de ISC, son:
- BIND 9.18.40 a 9.18.43
- BIND 9.20.13 a 9.20.17
- BIND 9.21.12 a 9.21.16
(así como las variantes equivalentes de la Supported Preview Edition con sufijo -S1).
Gravedad e impacto
El impacto es de denegación de servicio: la caída repetida de named puede dejar sin resolución DNS a redes enteras, con el efecto en cascada que eso supone (correo, navegación, servicios internos). Al ser explotable de forma remota y sin autenticación, y al no existir workarounds conocidos, ISC recomienda priorizar la actualización. No constaba explotación activa en el momento de la publicación.
Mitigación y parche
ISC publicó versiones corregidas. La única mitigación efectiva es actualizar a una de estas:
- BIND 9.18.44
- BIND 9.20.18
- BIND 9.21.17
(o sus variantes -S1 para la Preview Edition). No se conocen workarounds, por lo que aplicar el parche es la vía recomendada.
Las distribuciones de Linux han incorporado la corrección en sus repositorios. En el caso de Debian, el equipo de seguridad publicó el aviso DSA-6107-1 el 22 de enero de 2026 con los paquetes BIND actualizados; basta con ejecutar apt update && apt upgrade y reiniciar el servicio named (o bind9) para aplicar la corrección. Otras distribuciones (Ubuntu, Red Hat, SUSE) liberaron actualizaciones equivalentes.
Si gestionas servidores DNS expuestos, conviene además revisar tu postura de seguridad general; complementar el parcheo con un buen control de acceso obligatorio mediante SELinux y AppArmor ayuda a limitar el alcance de cualquier fallo similar en el futuro.
Fuente
- ISC Knowledge Base — CVE-2025-13878: https://kb.isc.org/docs/cve-2025-13878
- NVD — CVE-2025-13878: https://nvd.nist.gov/vuln/detail/CVE-2025-13878