【要点】
◎ISCはBIND 9のキャッシュ汚染2件(CVE-2025-40778/40780)とDoS1件(CVE-2025-8677)を公表。修正版へ更新を推奨 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/10/22 | 2025/04/16 | CVE-2025-40778 | NVD | ISC | 8.6(ISC) |
CWE-349 | 信頼できるデータ受け入れ時の信頼できない無関係なデータの受け入れ | - | BIND 9 |
| 2025/10/22 | 2025/04/16 | CVE-2025-40780 | NVD | ISC | 8.6(ISC) |
CWE-341 | 観測された状態からの推測 | - | BIND 9 |
| 2025/10/22 | 2025/08/06 | CVE-2025-8677 | NVD | ISC | 7.5(ISC) |
CWE-405 | 非対称のリソース消費に関する脆弱性 | - | BIND 9 |
【要約】
ISCは2025年10月22日、BIND 9の脆弱性3件を公表。CVE-2025-40778は特定環境で応答受理レコード処理に不備があり偽データをキャッシュへ挿入され得る。CVE-2025-40780は疑似乱数生成器の弱点により送信元ポートとクエリIDの予測を許し、キャッシュポイズニングに繋がる恐れ。CVE-2025-8677は不正DNSKEYを含むゾーン問い合わせでCPUを枯渇させ、リモートDoSに悪用され得る。CVSSv3.1は前2件が8.6、後者が7.5でいずれもHigh。修正版9.21.14/9.20.15/9.18.41が提供。
【ニュース】
◆「BIND 9」にキャッシュポイズニングなど複数脆弱性 (Security NEXT, 2025/10/23)
https://www.security-next.com/176162
