一、 漏洞 CVE-2025-40775 基础信息
漏洞信息
# 带有无效 TSIG 的 DNS 消息会导致断言失败
## 漏洞概述
当接收到的DNS协议消息中包含交易签名(TSIG)时,BIND 会始终进行检查。如果TSIG中的算法字段包含无效值,BIND 会立即中止并引发断言失败。
## 影响版本
- BIND 9 版本 9.20.0 至 9.20.8
- BIND 9 版本 9.21.0 至 9.21.7
## 细节
如果接收到的DNS协议消息包含一个交易签名(TSIG),而TSIG中的算法字段包含无效值,BIND 会引发断言失败并中止运行。
## 影响
导致BIND服务意外中断,可能影响DNS解析服务的正常运行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
DNS message with invalid TSIG causes an assertion failure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
When an incoming DNS protocol message includes a Transaction Signature (TSIG), BIND always checks it. If the TSIG contains an invalid value in the algorithm field, BIND immediately aborts with an assertion failure.
This issue affects BIND 9 versions 9.20.0 through 9.20.8 and 9.21.0 through 9.21.7.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未定义值处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
ISC BIND 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ISC BIND是ISC开源的一套实现了DNS协议的开源软件。 ISC BIND 9 9.20.0至9.20.8版本和9.21.0至9.21.7版本存在安全漏洞,该漏洞源于TSIG算法字段中的无效值,可能导致断言失败。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-40775 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Demonstrates a real-world zero-trust bypass by exploiting BIND CVE-2025-40775 to disrupt DNS, break secret rotation, and expose static credentials in a cloud-native lab. | https://github.com/AlexSvobo/nhi-zero-trust-bypass | POC详情 |
三、漏洞 CVE-2025-40775 的情报信息
-
标题: CVE-2025-40775: DNS message with invalid TSIG causes an assertion failure -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-40775
四、漏洞 CVE-2025-40775 的评论
暂无评论