概述
CVE-2025-40778是一个影响BIND DNS服务器的高危漏洞,允许攻击者通过未经请求的资源记录进行缓存投毒攻击。
漏洞描述
在特定情况下,BIND在接受来自响应的记录时过于宽松,允许攻击者向缓存中注入伪造数据。
该漏洞影响以下BIND 9版本:
- 9.11.0至9.16.50
- 9.18.0至9.18.39
- 9.20.0至9.20.13
- 9.21.0至9.21.12
- 9.11.3-S1至9.16.50-S1
- 9.18.11-S1至9.18.39-S1
- 9.20.9-S1至9.20.13-S1
漏洞信息
发布日期:2025年10月22日 16:15
最后修改:2025年10月22日 21:12
远程利用:是
来源:security-officer@isc.org
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Isc | bind |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.6 | CVSS 3.1 | 高 | 3.9 | 4.0 | security-officer@isc.org |
解决方案
- 更新BIND到已修复版本
- 应用厂商提供的安全补丁
- 验证DNS记录接受规则
- 监控缓存中的伪造数据
参考链接
CWE关联
CWE-349:接受带有可信数据的额外不可信数据
CAPEC攻击模式
- CAPEC-75:操纵可写配置文件
- CAPEC-141:缓存投毒
- CAPEC-142:DNS缓存投毒
漏洞时间线
2025年10月22日:收到来自security-officer@isc.org的新CVE
变更记录:
- 添加漏洞描述
- 添加CVSS V3.1评分:AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
- 添加CWE-349分类
- 添加参考链接