Internet Systems Consortium(ISC)は、細工されたレコードを送信することでリモート攻撃者がDNSサーバーをクラッシュさせられる、BIND 9の重大な脆弱性を公表しました。
CVE-2025-13878として追跡されているこの欠陥は、広く利用されているBINDネームサーバーデーモンのバージョンに影響します。
この脆弱性は、不正な形式のBRID(Boundary Router Identifier)およびHHIT(Host Identity Tag)レコードの処理におけるBINDの取り扱いに存在します。
攻撃者は、認証や特別な権限なしにこの脆弱性をリモートから悪用できます。権威DNSサーバーと再帰リゾルバの双方が影響を受け、潜在的な攻撃対象領域が大幅に拡大します。
このセキュリティ上の欠陥は、安定版およびプレビュー版の両方にわたる複数のBIND 9リリースブランチに影響します:
これらのいずれかのバージョンを運用している組織は、これを直ちにパッチ適用の最優先事項として扱うべきです。
ISCはこの脆弱性にCVSS v3.1スコア7.5(高深刻度)を割り当てました。完全なベクターはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:Hで、ネットワーク経由で低い複雑性で悪用可能、権限不要、可用性への影響が高いことを示します。機密性や完全性への影響はありません。
ISCは、不正な形式のレコード処理に関する脆弱性に対処するセキュリティ更新を公開しました。回避策は存在しないため、システム管理者は直ちに適切な修正済みバージョンへアップグレードする必要があります。
この脆弱性はMarlink CyberのVlatko Kosturjak氏によって発見され、責任ある開示としてISCに報告されました。
現時点で野放しの環境での活発な悪用は確認されていませんが、悪用の容易さとBINDの広範な導入状況を踏まえると、これは重要なパッチ適用の優先事項です。
組織は、影響を受けるすべてのDNSインフラに対して緊急更新として扱うべきです。
翻訳元: https://cyberpress.org/bind-9-vulnerability/