El 21 de gener de 2026, l’Internet Systems Consortium (ISC) va divulgar la CVE-2025-13878, una vulnerabilitat de denegació de servei (DoS) a BIND 9, el servidor DNS més utilitzat d’internet. L’error rep una puntuació CVSS de 7.5 (alta) i permet que un atacant remot, sense autenticació ni interacció de l’usuari, provoqui la caiguda del dimoni named.
Què és la vulnerabilitat
El problema rau en el tractament de dos tipus de registres DNS relativament nous: HHIT (tipus 67) i BRID (tipus 68). Quan named processa un registre d’aquests tipus el camp RDATA del qual està malformat —concretament, quan conté menys de tres octets—, es dispara una asserció dins de la funció dns_rdata_towire(). Aquesta asserció avorta el procés de manera abrupta i deixa el servei DNS inoperatiu.
Com que és un error que es desencadena simplement en serialitzar (towire) un registre corrupte, n’hi ha prou que el servidor processi dades manipulades perquè acabi de manera inesperada. No calen credencials ni configuracions especials més enllà de tenir actives les funcions afectades.
A qui afecta
La vulnerabilitat afecta tant els servidors autoritatius com els resolutors recursius, cosa que amplia considerablement la superfície d’exposició. Qualsevol desplegament de BIND 9 que pugui rebre o servir registres HHIT/BRID malformats és vulnerable.
Segons l’avís d’ISC, les versions afectades són:
- BIND 9.18.40 a 9.18.43
- BIND 9.20.13 a 9.20.17
- BIND 9.21.12 a 9.21.16
(així com les variants equivalents de la Supported Preview Edition amb el sufix -S1).
Gravetat i impacte
L’impacte és de denegació de servei: la caiguda repetida de named pot deixar sense resolució DNS xarxes senceres, amb l’efecte en cascada que això suposa (correu, navegació, serveis interns). Com que és explotable de manera remota i sense autenticació, i atès que no hi ha workarounds coneguts, ISC recomana prioritzar l’actualització. No constava explotació activa en el moment de la publicació.
Mitigació i pedaç
ISC va publicar versions corregides. L’única mitigació efectiva és actualitzar a una d’aquestes:
- BIND 9.18.44
- BIND 9.20.18
- BIND 9.21.17
(o les seves variants -S1 per a la Preview Edition). No es coneixen workarounds, de manera que aplicar el pedaç és la via recomanada.
Les distribucions de Linux han incorporat la correcció als seus repositoris. En el cas de Debian, l’equip de seguretat va publicar l’avís DSA-6107-1 el 22 de gener de 2026 amb els paquets BIND actualitzats; n’hi ha prou amb executar apt update && apt upgrade i reiniciar el servei named (o bind9) per aplicar la correcció. Altres distribucions (Ubuntu, Red Hat, SUSE) van alliberar actualitzacions equivalents.
Si gestiones servidors DNS exposats, també convé revisar la teva postura de seguretat general; complementar l’apedaçament amb un bon control d’accés obligatori mitjançant SELinux i AppArmor ajuda a limitar l’abast de qualsevol error similar en el futur.
Font
- ISC Knowledge Base — CVE-2025-13878: https://kb.isc.org/docs/cve-2025-13878
- NVD — CVE-2025-13878: https://nvd.nist.gov/vuln/detail/CVE-2025-13878