漏洞描述 

 BIND（Berkeley Internet Name Domain）是最广泛使用的 DNS 软件之一，而 BIND 9 是 ISC 维护的现代 DNS 套件，既 能做权威服务器（回答某个域名的权威记录），也能做递归/缓 存解析器（代表客户端向上游查询并缓存结果）。

 近日发现， DNS基础服务软件BIND9存在3个高危漏洞 （漏洞编号分别为：CVE-2025-8677、CVE-2025-40778、CVE 2025-40780）。它们都与 DNS 解析器（resolver）行为有关， 可能导致缓存被伪造、解析结果被篡改或解析服务被耗尽，风 险大、影响广。 

 漏洞详情 

 CVE-2025-8677（因格式错误的 DNSKEY 处理而导致资源耗 尽）：该漏洞是 BIND-9 在解析或验证某些畸形或精心构造的 DNSKEY / DNSSEC 相关记录时触发的高 CPU / 资源消耗，攻击 者可以利用此类输入反复触发解析器的高成本计算，从而造成 服务不可用（拒绝服务，DoS）。 

CVE-2025-40778（接受未经请求的 RR 导致缓存中毒）： 该漏洞是 BIND-9 的解析器在处理某些 DNS 响应时对额外的、 未经请求的资源记录（RRs） 接受过于宽松，攻击者在特定条 件下可将伪造记录注入递归解析器的缓存，从而改变后续客户 端的解析结果（即 DNS 缓存中毒）。 

 CVE-2025-40780（由于 PRNG 较弱而导致的缓存中毒）： 该漏洞是 BIND-9 在选择 UDP 源端口与查询 ID（transaction ID）时的伪随机生成或匹配逻辑存在可被预测或弱化的情形， 攻击者借此能更容易地生成与真实查询相匹配的伪造响应，从 而配合伪造包实施缓存中毒或响应欺骗。

 漏洞编号 

 CVE-2025-8677

 CVE-2025-40778 

 CVE-2025-40780 

 漏洞评级 

 高危 

 影响范围 

 受影响版本 

 9.16.0 -> 9.16.50

 9.18.0 -> 9.18.39

 9.20.0 -> 9.20.13

 9.21.0 -> 9.21.12 

 9.18.11-S1 -> 9.18.39-S1 

 9.20.9-S1 -> 9.20.13-S1

 修复版本 

 9.18.41

 9.20.15 

 9.21.14 

 9.18.41-S1 

 9.20.15-S1 

 安全建议

立即升级至安全版本。