2025年5月21日(現地時間)、Internet Systems Consortium(ISC)からBIND 9の脆弱性情報が公開されました。脆弱性が悪用されると、リモートからの攻撃によってnamedが異常終了する可能性があります。ISCは、本脆弱性(CVE-2025-40775)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2025-40775の影響を受けるバージョン]
- BIND 9.21.0からBIND 9.21.7まで
- BIND 9.20.0からBIND 9.20.8まで
※ BIND 9.18.0より前のバージョンについては評価されていません。
※ 本脆弱性は、リゾルバーと権威サーバーの双方が影響を受けます。
Internet Systems Consortium, Inc.(ISC)
CVE-2025-40775: DNS message with invalid TSIG causes an assertion failure
https://kb.isc.org/docs/cve-2025-40775
参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.20.xの脆弱性(DNSサービスの停止)について(CVE-2025-40775)- フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-05-22-bind9-vuln-tsig.html
Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
Japan Vulnerability Notes(JVN)
JVNVU#97609206 ISC BINDにおける不正なTSIGを含むDNSメッセージの不適切な処理の脆弱性(CVE-2025-40775)
https://jvn.jp/vu/JVNVU97609206/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
