サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

ISC BIND 9における複数の脆弱性について(2025年10月)

最終更新: 2025-10-24

2025年10月22日(現地時間)、Internet Systems Consortium(ISC)からBIND 9の脆弱性情報が3件公開されました。脆弱性が悪用されると、偽造されたリソースレコードをキャッシュさせられる、サービス運用妨害(DoS)状態を引き起こされるなどの可能性があります。
ISCは、3件の脆弱性(CVE-2025-8677、CVE-2025-40778、CVE-2025-40780)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。詳細は、ISCなどが提供する情報を参照してください。

[CVE-2025-8677の影響を受けるバージョン]
- BIND 9.18.0から9.18.39まで
- BIND 9.20.0から9.20.13まで
- BIND 9.21.0から9.21.12まで
- BIND Supported Preview Edition 9.18.11-S1から9.18.39-S1まで
- BIND Supported Preview Edition 9.20.9-S1から9.20.13-S1まで
※ 本脆弱性はリゾルバーが影響を受けます。

Internet Systems Consortium, Inc.(ISC)
CVE-2025-8677: Resource exhaustion via malformed DNSKEY handling
https://kb.isc.org/docs/cve-2025-8677

[CVE-2025-40778の影響を受けるバージョン]
- BIND 9.11.0から9.16.50まで
- BIND 9.18.0から9.18.39まで
- BIND 9.20.0から9.20.13まで
- BIND 9.21.0から9.21.12まで
- BIND Supported Preview Edition 9.11.3-S1から9.16.50-S1まで
- BIND Supported Preview Edition 9.18.11-S1から9.18.39-S1まで
- BIND Supported Preview Edition 9.20.9-S1から9.20.13-S1まで
※ BIND 9.11.0より前のバージョンについては評価されていませんが、同様の影響を受ける可能性があります。
※ 本脆弱性はリゾルバーが影響を受けます。

Internet Systems Consortium, Inc.(ISC)
CVE-2025-40778: Cache poisoning attacks with unsolicited RRs
https://kb.isc.org/docs/cve-2025-40778

[CVE-2025-40780の影響を受けるバージョン]
- BIND 9.16.0から9.16.50まで
- BIND 9.18.0から9.18.39まで
- BIND 9.20.0から9.20.13まで
- BIND 9.21.0から9.21.12まで
- BIND Supported Preview Edition 9.16.8-S1から9.16.50-S1まで
- BIND Supported Preview Edition 9.18.11-S1から9.18.39-S1まで
- BIND Supported Preview Edition 9.20.9-S1から9.20.13-S1まで
※ BIND 9.11.0より前のバージョンについては、評価対象外です。
※ 本脆弱性はリゾルバーが影響を受けます。

Internet Systems Consortium, Inc.(ISC)
CVE-2025-40780: Cache poisoning due to weak PRNG
https://kb.isc.org/docs/cve-2025-40780

参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2025-8677)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-10-23-bind9-vuln-dnskey.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSキャッシュポイズニングの危険性)について(CVE-2025-40778)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-10-23-bind9-vuln-cachepoisoning.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSキャッシュポイズニングの成功確率向上)について(CVE-2025-40780)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-10-23-bind9-vuln-weakprng.html

Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates

Japan Vulnerability Notes(JVN)
JVNVU#94483818 ISC BINDにおける複数の脆弱性(2025年10月)
https://jvn.jp/vu/JVNVU94483818/

CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報