问题是什么?
简单来说,这是一个严重的网络安全问题。
- 涉事软件:BIND9,这是全球范围内使用最广泛的DNS服务器软件。绝大多数互联网域名解析服务都依赖它。
- 问题核心:BIND9软件中存在3个高危漏洞(CVE-2025-8677, CVE-2025-40778, CVE-2025-40780)。
- 漏洞危害:
- 服务中断:攻击者可以利用这些漏洞,向你的DNS服务器发送特制的恶意数据包,导致DNS服务崩溃,无法提供域名解析服务。这意味着用户无法通过域名访问你的网站或服务。
- 缓存污染:攻击者可以将错误的域名解析结果注入你的DNS服务器缓存,从而将用户引导到恶意的网站(例如钓鱼网站),造成数据泄露或其他安全风险。
- 攻击方式:远程、未授权即可利用,门槛较低,风险很高。
受影响版本
如果你的BIND9版本处于以下范围,则受到漏洞影响:
- 9.18.0 – 9.18.39
- 9.20.0 – 9.20.13
- 9.21.0 – 9.21.12
- 9.18.11-S1 – 9.18.39-S1
- 9.20.9-S1 – 9.20.13-S1
如何解决?
解决方案是立即升级你的BIND9软件到已修复漏洞的安全版本。
修复版本如下:
- 9.18.41
- 9.20.15
- 9.21.14
- 9.18.41-S1
- 9.20.15-S1
操作步骤建议
- 确认当前版本:
在服务器上运行命令:named -v或bind9 -v,查看你当前的BIND9版本号。 - 规划升级:
- 如果版本在受影响范围内,应立即安排升级。
- 选择与你现在主版本号对应的修复版本进行升级(例如,如果你在用9.18.30,就升级到9.18.41)。
- 执行升级:
- 通过官方源升级(推荐):如果你之前是通过系统包管理器(如
yum,apt,dnf)安装的,可以直接使用包管理器升级。- Ubuntu/Debian:
sudo apt update && sudo apt upgrade bind9 - CentOS/RHEL/Fedora:
sudo yum update bind或sudo dnf upgrade bind
- Ubuntu/Debian:
- 编译安装:如果你之前是手动编译安装的,需要去ISC官网下载新版源码包重新编译安装。
- 通过官方源升级(推荐):如果你之前是通过系统包管理器(如
- 重启服务:
升级完成后,必须重启BIND9服务以使更新生效。sudo systemctl restart named或sudo systemctl restart bind9
- 验证:
- 再次运行
named -v确认版本已更新。 - 检查DNS服务是否正常解析,并查看系统日志有无错误信息。
- 再次运行
临时缓解措施(如果无法立即升级)
如果因为某些原因无法立即升级,可以考虑:
- 通过网络防火墙或安全组策略,严格限制向DNS服务器(端口53)发送查询的客户端源IP地址,只允许可信的解析器或用户访问。但这并不能完全消除风险,升级才是根本解决办法。
这是一个需要紧急处理的高危漏洞。请立即检查你的DNS服务器版本,并尽快升级到已修复的安全版本。
