Internet Systems Consortium(ISC)揭露,旗下開源DNS伺服器軟體BIND 9存在高風險漏洞CVE-2025-13878。攻擊者可透過惡意構造的DNS資源紀錄,遠端觸發named服務程序異常終止,造成名稱解析服務中斷,形成阻斷服務(DoS)風險。ISC已發布修補版本,建議管理者儘速升級。
ISC於1月21日發布安全公告指出,該漏洞源於BIND處理BRID與HHIT類型DNS資源紀錄的方式當中,存在驗證邏輯的缺陷。在特定條件下,BIND可能因檢查失敗而直接中止服務程序,進而影響DNS解析的可用性。攻擊者不需通過驗證,即可從遠端觸發該問題。
BIND 9是廣泛使用的開源DNS伺服器軟體,常部署為遞迴解析器或權威DNS伺服器,支撐網站、電子郵件與各類網路服務的名稱解析需求。由於DNS屬於關鍵基礎設施,一旦解析服務中斷,影響範圍可能擴及多項對外服務。
漏洞影響多個BIND 9版本,CVSS評為高風險
根據ISC公告,CVE-2025-13878影響多個仍在維護中的BIND 9版本,包括9.18.40至9.18.43、9.20.13至9.20.17,以及9.21.12至9.21.16,亦波及相對應的預覽版本。
CVE資料顯示,該漏洞的CVSS風險分數為7.5,屬於高風險等級。攻擊者可在無需使用者互動的情況下遠端觸發漏洞,主要影響系統可用性。
ISC釋出更新,建議管理者儘速修補
ISC已釋出修補版本BIND 9.18.44、9.20.18與9.21.17,建議管理者儘速完成升級。對於短期內無法更新的環境,管理者可評估限制不必要的DNS功能與存取範圍,並加強服務監控,以降低遭濫用風險。
資安廠商SentinelOne則提醒,實務上風險較高的情境,主要出現在對外公開的遞迴DNS解析器或權威DNS伺服器。若DNS服務允許來自任意來源的查詢請求,攻擊者即可遠端送出特製封包觸發漏洞,導致名稱解析服務中斷,因此相關部署模式更容易成為阻斷服務攻擊的目標。
雖然ISC的公告未提及是否已有大規模攻擊行為,但由於DNS在網路服務中的關鍵角色,相關漏洞仍可能被用於阻斷服務攻擊,管理者應及早評估環境風險並完成修補。
熱門新聞
2026-01-27
2026-01-26
2026-01-26
2026-01-27
2026-01-27
2026-01-27