公開日:2025/05/22 最終更新日:2025/05/22

JVNVU#97609206
ISC BINDにおける不正なTSIGを含むDNSメッセージの不適切な処理の脆弱性(CVE-2025-40775)

概要

ISC(Internet Systems Consortium)が提供するISC BINDには、不正なトランザクション署名(TSIG)を含むDNSメッセージを適切に処理できない脆弱性が存在します。

影響を受けるシステム

  • BIND 9.20.0から9.20.8まで
  • BIND 9.21.0から9.21.7まで
BIND 9.18.0より前のバージョンは影響有無の確認をしていないとのことです。

詳細情報

BINDは受信したDNSメッセージにトランザクション署名(TSIG)が含まれる場合、常にそれをチェックしています。
TSIGのアルゴリズムフィールドに不正な値が含まれる場合、アサーションエラーが発生し、直ちに処理が中止されます(CWE-232CVE-2025-40775)。

想定される影響

遠隔の攻撃者によって細工されたメッセージを送信された場合、namedが異常終了する可能性があります。

対策方法

アップグレードする
開発者が提供する情報をもとに、最新のパッチバージョンにアップグレードしてください。
本脆弱性は、次のバージョンで修正されています。

  • 9.20.9
  • 9.21.8

ベンダ情報

ベンダ リンク
Internet Systems Consortium(ISC) CVE-2025-40775: DNS message with invalid TSIG causes an assertion failure

参考情報

  1. JPCERT/CC CyberNewsFlash 2025-05-22
    ISC BIND 9における脆弱性について(2025年5月)
  2. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.20.xの脆弱性(DNSサービスの停止)について(CVE-2025-40775) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/05/22
[参考情報]を更新しました