“En circunstancias específicas, adecuado a una cariño en el padre de números pseudoaleatorios (PRNG) que se utiliza, es posible que un atacante prediga el puerto de origen y el ID de consulta que utilizará BIND”, escribieron los desarrolladores de BIND en la divulgación del miércoles. “Se puede engañar a BIND para que almacene en distinción las respuestas de los atacantes, si la suplantación de identidad tiene éxito”.

CVE-2025-40778 igualmente plantea la posibilidad de revivir ataques de envenenamiento de distinción.

“Bajo ciertas circunstancias, BIND es demasiado indulgente al aceptar registros de respuestas, lo que permite a un atacante inyectar datos falsificados en el distinción”, explicaron los desarrolladores. “Los registros falsificados se pueden inyectar en la memoria distinción durante una consulta, lo que potencialmente puede afectar la resolución de consultas futuras”.

Incluso en tales casos, las consecuencias resultantes serían significativamente más limitadas que el círculo previsto por Kaminsky. Una razón para esto es que los servidores autorizados en sí mismos no son vulnerables. Por otra parte, como se señala aquí y aquí por Red Hat, varias otras contramedidas contra el envenenamiento de distinción permanecen intactas. Incluyen DNSSEC, una protección que requiere que los registros DNS estén firmados digitalmente. Las medidas adicionales vienen en forma de obstáculo de velocidad y firewall del servidor, que se consideran mejores prácticas.

“Adecuado a que la explotación no es trivial, requiere suplantación de identidad a nivel de red y sincronización precisa, y solo afecta la integridad de la distinción sin comprometer el servidor, la vulnerabilidad se considera importante en espacio de crítica”, escribió Red Hat en su divulgación de CVE-2025-40780.

No obstante, las vulnerabilidades tienen el potencial de causar daños en algunas organizaciones. Se deben instalar parches para los tres tan pronto como sea posible.