互联网系统协会(ISC)已针对 BIND 9 发布高严重性安全公告。BIND 9 是支撑互联网大量 DNS(域名系统)基础设施的核心软件。新发现的漏洞 CVE-2025-13878 允许远程攻击者通过发送单个恶意数据包即可导致 BIND 服务器崩溃,可能引发大规模 ** 拒绝服务(DoS)** 中断。
该漏洞的 CVSS 评分为 7.5,并被标记为 “可远程利用”,意味着攻击者无需本地访问或身份验证,即可从互联网任意位置触发崩溃。
漏洞存在于 BIND 的核心守护进程 named 处理特定类型 DNS 记录的方式中。根据公告,问题由与 BRID 和 HHIT 记录相关的无效数据结构触发。
公告指出:“畸形的 BRID/HHIT 记录可导致 named 意外终止。”
虽然这些记录类型不像标准 A 或 AAAA 记录那样常见,但解析器无法正确处理其损坏版本,从而在软件中形成一个脆弱点。
该漏洞的影响直接且具有破坏性。攻击者只需发送一个特制查询,即可迫使 DNS 服务器关闭。
公告警告:“攻击者可以通过发送导致记录损坏或恶意的请求,使 named 崩溃。”
此风险适用于所有 BIND 部署场景。ISC 确认:“权威服务器和递归解析器均受此漏洞影响”,没有任何配置能完全避免崩溃风险。
该漏洞由 Marlink Cyber 的 Vlatko Kosturjak 报告。
网络管理员被敦促立即检查其 BIND 版本。受影响的分支如下:
- BIND 9.18:版本 9.18.40 至 9.18.43
- BIND 9.20:版本 9.20.13 至 9.20.17
- BIND 9.21:版本 9.21.12 至 9.21.16
支持的预览版也受到影响。
幸运的是,目前 “尚未发现任何野外活跃利用”。然而,鉴于 BIND 的广泛使用,各组织不应等待,应立即修补。
ISC 建议用户 “升级到与你当前 BIND 9 版本最接近的已修复版本”,具体为:
- 9.18.44
- 9.20.18
- 9.21.17
发表评论
您还未登录,请先登录。
登录