漏洞概述
ISC BIND 9 中存在一个高危拒绝服务漏洞(CVE-2025-13878),攻击者可通过发送特制的 BRID/HHIT DNS 记录,导致 named 服务异常终止,从而造成服务不可用。
漏洞详情
- CVE 编号:CVE-2025-13878
- 漏洞类型:拒绝服务(CWE-617:可达断言)
- CVSS 评分:7.5(HIGH)
- 影响版本:BIND 9.18.40–9.18.43、9.20.13–9.20.17、9.21.12–9.21.16,以及对应的 S1 版本(9.18.40-S1–9.18.43-S1、9.20.13-S1–9.20.17-S1)
影响范围
该漏洞影响 ISC BIND 9 的多个稳定版本,包括 9.18.x、9.20.x 和 9.21.x 系列中特定范围的版本。运行上述受影响版本的 DNS 服务器在处理恶意构造的 BRID/HHIT 记录时可能崩溃。
风险分析
由于该漏洞可通过网络远程触发,且无需身份认证或用户交互,攻击者可轻易构造恶意 DNS 查询,导致目标 BIND 服务器进程终止,造成 DNS 服务中断,属于高可用性风险。虽然不涉及数据泄露或远程代码执行,但对关键基础设施中的 DNS 服务构成严重威胁。
修复建议
- 立即升级至官方发布的安全版本:BIND 9.18.44、9.20.18 或 9.21.17。
- 若无法立即升级,建议在网络边界部署 DNS 查询过滤规则,限制非预期或异常类型的 DNS 记录(如 BRID/HHIT)进入内部 DNS 服务器。
