BIND 9 DNS 解析软件漏洞使全球企业面临缓存投毒与拒绝服务攻击风险

BIND 9 DNS解析软件中的解件漏拒绝两个高危漏洞正影响全球企业，可能导致缓存投毒和拒绝服务攻击。析软这两个编号为CVE-2025-40776和CVE-2025-40777的洞使漏洞对DNS基础设施构成重大安全风险 ，特别是全球企业配置了特定高级功能的解析器。

核心要点CVE-2025-40776（缓存投毒）和CVE-2025-40777（拒绝服务）影响BIND 9解析器特定配置的亿华云面临BIND解析器可被远程利用且无需认证建议升级至修复版本或禁用易受攻击功能BIND 9缓存投毒漏洞（CVE-2025-40776）

首个漏洞CVE-2025-40776针对配置了EDNS Client Subnet（ECS）选项的BIND 9解析器，CVSS评分为8.6（高危）。缓存该生日攻击漏洞仅影响BIND订阅版（-S） ，投毒包括9.11.3-S1至9.16.50-S1 、服务风险9.18.11-S1至9.18.37-S1以及9.20.9-S1至9.20.10-S1版本。攻击

攻击者利用解析器向权威服务器发送ECS选项的解件漏拒绝特性 ，云计算迫使服务器发起查询从而提高源端口猜测成功率 。析软该漏洞由南开大学AOSP实验室的洞使李翔发现，能够绕过原有的全球企业生日攻击缓解措施。CVSS向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N显示该漏洞可通过网络利用 ，面临对数据完整性造成严重影响 。缓存

BIND 9拒绝服务漏洞（CVE-2025-40777）

CVE-2025-40777则呈现不同的模板下载攻击向量 ，通过断言失败引发拒绝服务攻击 ，CVSS评分为7.5。该漏洞影响BIND 9.20.0至9.20.10、9.21.0至9.21.9版本及相应的支持预览版
 。

当解析器配置了"serve-stale-enable yes"且"stale-answer-client-timeout"设为0时，攻击者可通过特定的源码下载CNAME链组合（涉及缓存或权威记录）强制终止named守护进程。该漏洞在内部测试中发现，目前尚未发现活跃攻击
。CVSS向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H表明远程利用会对服务可用性造成严重影响 。

漏洞信息对照表

CVE编号

漏洞名称

受影响产品

CVSS 3.1评分

严重等级

CVE-2025-40776

针对支持ECS的解析器的生日攻击

BIND 9支持预览版 ：• 9.11.3-S1至9.16.50-S1• 9.18.11-S1至9.18.37-S1• 9.20.9-S1至9.20.10-S1

8.6

高危

CVE-2025-40777

使用stale-answer-client-timeout 0选项时可能出现的断言失败

BIND 9：• 9.20.0至9.20.10• 9.21.0至9.21.9BIND支持预览版：• 9.20.9-S1至9.20.10-S1

7.5

高危

缓解措施

ISC建议立即打补丁修复这两个漏洞。源码库针对CVE-2025-40776 ，企业应升级至BIND 9.18.38-S1或9.20.11-S1，或通过从named.conf中移除ecs-zones选项来禁用ECS功能。对于CVE-2025-40777，需升级至BIND 9.20.11或9.21.10，临时解决方案包括在配置文件中设置"stale-answer-client-timeout off"或"stale-answer-enable no"。

这些漏洞凸显了保持DNS基础设施更新的重要性，免费模板因为缓存投毒和拒绝服务攻击都可能严重危害企业安全态势和服务可用性。