【セキュリティニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [【セキュリティニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響](https://www.security-next.com/180015)【Security NEXT】(2026年01月22日) --- > [!NOTE] この記事の要約（箇条書き） - DNSサーバ「BIND 9」にサービス拒否（DoS）の脆弱性「CVE-2025-13878」が発見されました。 - 細工されたDNSレコードを処理するとプロセスが異常終了し、権威サーバとリゾルバの両方に影響します。 - 認証不要のリモートからのDoS攻撃が可能で、CVSSv3.1スコアは7.5（高）と評価されています。 - ISCは修正版「BIND 9.21.17」「同9.20.18」「同9.18.44」をリリースしており、回避策はありません。 - 日本レジストリサービス（JPRS）も「緊急」対応が必要な脆弱性として、利用者へ早急なアップデートを強く推奨しています。 > [!NOTE] 要約おわり --- [過去記事](https://www.security-next.com/monthlyarchive) [メルマガ](https://www.security-next.com/mag2) ## 「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響 DNSサーバ「BIND 9」にあらたな脆弱性が確認された。権威サーバ、リゾルバのいずれも対象で影響は広範囲に及ぶとして関係機関も注意喚起を行っている。 Internet Systems Consortium（ISC）は現地時間2026年1月21日、セキュリティアドバイザリを公開し、細工したDNSレコードを処理するとサービス拒否が生じる脆弱性「CVE-2025-13878」について明らかにした。細工された「BRIDリソースレコード」「HHITリソースレコード」に関する応答やリクエストの処理を行うとプロセスが異常終了するという。権威サーバ、リゾルバのいずれも影響があり、認証を必要とすることなく、リモートからのDoS攻撃などに悪用されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」と評価。重要度を4段階中、上から2番目にあたる「高（High）」とレーティングしている。アドバイザリのリリース時点で悪用は確認されていない。 [PAGE 2](https://www.security-next.com/180015/2) 脆弱性の判明を受けて、ISCは修正版となる「BIND 9.21.17」「同9.20.18」「同9.18.44」をリリースした。回避策はなく、アップデートするよう利用者に求めている。また脆弱性の判明を受けて、関係機関も注意喚起を実施した。日本レジストリサービス（JPRS）は、「CVE-2025-13878」に関して、外部から細工したパケットをひとつ送りつけるだけで、異常終了させることができると危険性を指摘。広い範囲で「緊急」対応が必要となる脆弱性であるとし、すみやかにアップデートするよう利用者に強く推奨している。（Security NEXT - 2026/01/22 ） ### 関連リンク - [ISC：CVE-2025-13878](https://kb.isc.org/docs/cve-2025-13878) - [Internet Systems Consortium](https://www.isc.org/) - [日本レジストリサービス](https://jprs.co.jp/) ##### PR #### 関連記事 [米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起](https://www.security-next.com/179987) [「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認](https://www.security-next.com/179982) [Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件](https://www.security-next.com/179978) [Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要](https://www.security-next.com/179948) [「Fleet」のWindows MDM登録に深刻な脆弱性 - 不正端末混入のおそれ](https://www.security-next.com/179933) [「NVIDIA Merlin Transformers4Rec」に脆弱性 - 権限昇格などのおそれ](https://www.security-next.com/179926) [ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開](https://www.security-next.com/179922) [ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性](https://www.security-next.com/179914) [WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ](https://www.security-next.com/179867) [キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性](https://www.security-next.com/179862)