【安全圈】BIND 9 爆出三项高危漏洞

关键词

BIND 9

互联网系统协会（ISC）于 2025 年 10 月 22 日披露了 BIND 9 中的三项高危漏洞，可能允许远程攻击者对受影响的 DNS 解析器实施缓存投毒攻击，或造成拒绝服务（DoS）中断。

这些漏洞编号为 CVE-2025-8677、CVE-2025-40778 和 CVE-2025-40780，主要影响用于域名解析的递归解析器，而权威 DNS 服务器基本不受影响。由于 BIND 在全球互联网 DNS 基础设施中占据重要地位，安全机构强烈建议管理员立即打补丁，以防止服务中断或恶意重定向风险。

CVE-2025-8677 涉及递归解析逻辑中的资源消耗问题。攻击者可通过精心构造的 DNSKEY 记录触发 CPU 过载，使服务器在处理查询时陷入高负载状态。该漏洞的 CVSS 评分为 7.5，可被远程、未认证地利用，导致性能严重下降。

另外两项漏洞（CVE-2025-40778 与 CVE-2025-40780）与缓存投毒相关。前者源于 BIND 对未请求资源记录的宽松处理方式，使伪造数据有机会写入缓存，污染后续解析结果；后者则由于伪随机数生成器（PRNG）弱化，导致源端口和查询 ID 可预测，增加伪造响应插入缓存的可能性。这两项漏洞均获 CVSS 8.6 的高评分。

研究人员指出，这类漏洞重现了 2008 年 Kaminsky 攻击的安全隐患，可能导致用户被重定向至攻击者控制的钓鱼或恶意网站，实施中间人攻击、分发恶意代码或窃取敏感信息。若攻击者成功投毒缓存，合法域名的 IP 地址可能被替换，造成严重信任风险。

CVE-2025-8677 还可能导致解析服务瘫痪，引发业务中断、财务损失及生产力下降。受影响的版本范围包括 BIND 9.11.0 至 9.21.12 及相关预览版，云端和企业环境风险尤为突出。

目前尚未发现实际攻击案例，但由于漏洞可远程、无需认证地利用，安全专家敦促管理员尽快升级至修复版本：BIND 9.18.41、9.20.15 或 9.21.14。ISC 强调，这些漏洞凸显了 DNS 基础设施在后 Kaminsky 时代仍需持续强化随机化与验证机制的重要性。

部分 Linux 发行版如 Ubuntu 与 Red Hat 已发布更新，ISC 建议系统管理员密切关注版本公告并尽快部署补丁，以确保解析器安全运行。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！