Die BIND-Software, der im Internet am weitesten verbreitete Nameserver mit vermutlich rund 50% Marktanteil hat einen fehlerhaften Zufallszahlengenerator. Ausgenommen ist nur die mit OpenBSD ausgelieferte BIND-Version, weil dem Entwickler die Implementierung des Zufallszahlengenerators schon damals komisch vor kam und er den vorsorglich ausgewechselt hat.
Kritisch ist das hauptsächlich, weil jede DNS-Anfrage mit einer 16-Bit Transaction ID gesichert ist und wenn die erraten werden kann, kann einem DNS-Server eine falsche Antwort mit hoher Cache-Lebenszeit untergeschoben werden. Dem DNS-Server passiert dabei nichts, aber Clients, die an diesen DNS-Server anfragen stellen, werden möglicherweise auf einen falschen Webserver umgeleitet, die Gefahr von Phishing-Angriffen steigt. Der Wikipedia Eintrag zu DNS Cache Poisoning erklärt das Problem recht anschaulich.
Mal sehen, ob uns da demnächst was um die Ohren fliegt.