ISC修复多个BIND高危漏洞，防范缓存投毒和拒绝服务攻击

互联网系统联盟（ISC）已发布针对BIND 9 DNS服务器三个高危漏洞的补丁，其中两个漏洞（CVE-2025-40778、CVE-2025-40780）可导致缓存投毒攻击，另一个漏洞（CVE-2025-8677）则可能引发CPU耗尽。这三个漏洞均可被远程利用，主要影响递归解析器，权威服务器据信不受影响。

CVE-2025-40780：伪随机数生成器漏洞

最严重的漏洞CVE-2025-40780（CVSS 8.6）源于BIND用于选择源端口和查询ID的伪随机数生成器存在缺陷。该漏洞使攻击者能够预测DNS事务标识符，从而将恶意响应注入解析器的缓存——典型的缓存投毒攻击。

ISC警告：“如果欺骗成功，BIND可能被诱骗缓存攻击者响应”，并指出解析器受影响，而权威服务据信不受影响。

受影响版本：

• BIND 9.16.0 → 9.16.50
• BIND 9.18.0 → 9.18.39
• BIND 9.20.0 → 9.20.13
• BIND 9.21.0 → 9.21.12

该漏洞无需认证即可远程利用，可能允许攻击者将用户重定向到恶意网站或篡改DNS记录。

CVE-2025-40778：未经请求资源记录处理漏洞

另一个缓存投毒漏洞CVE-2025-40778（CVSS 8.6）影响BIND处理DNS响应中未经请求资源记录（RRs）的方式。在某些条件下，BIND解析器在从DNS答案接受记录时过于宽松，允许攻击者在正常查询操作期间将伪造数据注入缓存。

公告解释：“在某些情况下，BIND在从答案接受记录时过于宽松，允许攻击者将伪造数据注入缓存。伪造记录可在查询期间注入缓存，这可能影响未来查询的解析。”

受影响版本：

• BIND 9.11.0 → 9.16.50
• BIND 9.18.0 → 9.18.39
• BIND 9.20.0 → 9.20.13
• BIND 9.21.0 → 9.21.12

此漏洞与CVE-2025-40780构成类似威胁——允许攻击者操纵DNS答案并将用户重定向到钓鱼或恶意软件分发网站。

CVE-2025-8677：CPU耗尽漏洞

第三个漏洞CVE-2025-8677（CVSS 7.5）可在BIND解析器查询包含特殊构造区域中格式错误的DNSKEY记录时导致CPU耗尽。攻击者可远程利用此漏洞降低性能或导致拒绝服务，阻止合法用户解析域名。

ISC写道：“查询包含某些格式错误DNSKEY记录的特殊构造区域内的记录可能导致CPU耗尽。攻击者可能压倒服务器，显著影响性能并导致对合法客户的拒绝服务。”

受影响版本：

• BIND 9.18.0 → 9.18.39
• BIND 9.20.0 → 9.20.13
• BIND 9.21.0 → 9.21.12

与缓存投毒漏洞类似，解析器易受攻击，而权威服务据信不受影响。

修复建议

ISC强烈建议升级到与当前部署的主要版本对应的修复版本：