BIND 9 DNS解析軟件中的兩個高危漏洞正影響全球企業(yè)，可能導(dǎo)致緩存投毒和拒絕服務(wù)攻擊。這兩個編號為CVE-2025-40776和CVE-2025-40777的漏洞對DNS基礎(chǔ)設(shè)施構(gòu)成重大安全風(fēng)險，特別是配置了特定高級功能的解析器。

核心要點

• CVE-2025-40776（緩存投毒）和CVE-2025-40777（拒絕服務(wù)）影響B(tài)IND 9解析器
• 特定配置的BIND解析器可被遠程利用且無需認證
• 建議升級至修復(fù)版本或禁用易受攻擊功能

BIND 9緩存投毒漏洞（CVE-2025-40776）

首個漏洞CVE-2025-40776針對配置了EDNS Client Subnet（ECS）選項的BIND 9解析器，CVSS評分為8.6（高危）。該生日攻擊漏洞僅影響B(tài)IND訂閱版（-S），包括9.11.3-S1至9.16.50-S1、9.18.11-S1至9.18.37-S1以及9.20.9-S1至9.20.10-S1版本。

攻擊者利用解析器向權(quán)威服務(wù)器發(fā)送ECS選項的特性，迫使服務(wù)器發(fā)起查詢從而提高源端口猜測成功率。該漏洞由南開大學(xué)AOSP實驗室的李翔發(fā)現(xiàn)，能夠繞過原有的生日攻擊緩解措施。CVSS向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N顯示該漏洞可通過網(wǎng)絡(luò)利用，對數(shù)據(jù)完整性造成嚴重影響。

BIND 9拒絕服務(wù)漏洞（CVE-2025-40777）

CVE-2025-40777則呈現(xiàn)不同的攻擊向量，通過斷言失敗引發(fā)拒絕服務(wù)攻擊，CVSS評分為7.5。該漏洞影響B(tài)IND 9.20.0至9.20.10、9.21.0至9.21.9版本及相應(yīng)的支持預(yù)覽版。

當(dāng)解析器配置了"serve-stale-enable yes"且"stale-answer-client-timeout"設(shè)為0時，攻擊者可通過特定的CNAME鏈組合（涉及緩存或權(quán)威記錄）強制終止named守護進程。該漏洞在內(nèi)部測試中發(fā)現(xiàn)，目前尚未發(fā)現(xiàn)活躍攻擊。CVSS向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H表明遠程利用會對服務(wù)可用性造成嚴重影響。

漏洞信息對照表

緩解措施

ISC建議立即打補丁修復(fù)這兩個漏洞。針對CVE-2025-40776，企業(yè)應(yīng)升級至BIND 9.18.38-S1或9.20.11-S1，或通過從named.conf中移除ecs-zones選項來禁用ECS功能。對于CVE-2025-40777，需升級至BIND 9.20.11或9.21.10，臨時解決方案包括在配置文件中設(shè)置"stale-answer-client-timeout off"或"stale-answer-enable no"。

這些漏洞凸顯了保持DNS基礎(chǔ)設(shè)施更新的重要性，因為緩存投毒和拒絕服務(wù)攻擊都可能嚴重危害企業(yè)安全態(tài)勢和服務(wù)可用性。