インターネットシステムズコンソーシアム(ISC)は水曜日、キャッシュポイズニングの脆弱性を含む高深刻度の脆弱性を解決するBIND 9のアップデートを発表しました。
最初の問題は、人気のDNSサーバーソフトウェアで使用されている擬似乱数生成器(PRNG)の弱点であり、特定の状況下で攻撃者が使用されるソースポートとクエリIDを予測できる可能性があります。
攻撃者は、このセキュリティ欠陥(CVE-2025-40780、CVSSスコア8.6)を悪用して、なりすまし攻撃を行うことができ、成功した場合、BINDが攻撃者の応答をキャッシュする可能性があるとISCは説明しています。
2つ目のバグ(CVE-2025-40778、CVSSスコア8.6)は、「特定の状況下で、BINDが回答からのレコードを受け入れる際に寛容すぎる」ことが原因で存在します。
これにより、攻撃者は偽造されたレコードをキャッシュに注入でき、将来のクエリの解決に影響を与える可能性があります。
3つ目の脆弱性(CVE-2025-8677、CVSSスコア7.5)は、特定の不正なDNSKEYレコードを含む特別に細工されたゾーン内のレコードをクエリした際に発生するサービス拒否(DoS)問題と説明されています。
攻撃者はこのバグを悪用してサーバーを圧倒し、CPUリソースを消費させることでパフォーマンスやサービスの可用性に影響を与える可能性があります。
ISCによると、これら3つの脆弱性はすべてリゾルバーに影響しますが、権威サーバーには影響しないと考えられています。いずれにも回避策はありませんが、現時点で実際に悪用された形跡はありません。
これらのセキュリティ欠陥は、BINDバージョン9.18.41、9.20.15、9.21.14およびBIND Supported Preview Editionバージョン9.18.41-S1、9.20.15-S1のリリースで修正されています。
ISCは、できるだけ早く修正版のBINDへアップデートすることを推奨しています。サポートが終了したDNSサーバーのバージョンを利用している組織は、サポートされているバージョンへ移行すべきです。
翻訳元: https://www.securityweek.com/bind-updates-address-high-severity-cache-poisoning-flaws/
