互联网系统联盟（ISC）披露，其开源DNS服务器软件BIND 9存在高危漏洞CVE-2025-13878。攻击者可通过构造恶意的DNS资源记录，远程触发named服务进程异常终止，导致域名解析服务中断，形成拒绝服务（DoS）风险。ISC已发布修复版本，建议管理员尽快升级。

漏洞成因与影响

ISC于1月21日发布安全公告指出，该漏洞源于BIND在处理BRID与HHIT类型DNS资源记录时存在验证逻辑缺陷。在特定条件下，BIND可能因校验失败而直接终止服务进程，从而影响域名解析的可用性。攻击者无需身份验证即可远程触发该漏洞。

BIND 9是广泛使用的开源DNS服务器软件，常部署为递归解析器或权威DNS服务器，支撑网站、电子邮件及各类网络服务的域名解析需求。由于DNS属于关键基础设施，一旦解析服务中断，可能波及多项对外业务。

受影响版本与风险等级

根据ISC公告，CVE-2025-13878影响多个仍在维护的BIND 9版本，包括9.18.40至9.18.43、9.20.13至9.20.17，以及9.21.12至9.21.16，同时也影响对应的预览版本。

CVE数据显示，该漏洞的CVSS风险评分为7.5，属于高危等级。攻击者可在无需用户交互的情况下远程触发漏洞，主要影响系统可用性。

修复建议与防护措施

ISC已发布修复版本BIND 9.18.44、9.20.18与9.21.17，建议管理员尽快完成升级。对于短期内无法更新的环境，管理员可评估限制不必要的DNS功能与访问范围，并加强服务监控，以降低被利用的风险。

安全厂商SentinelOne提醒，实际风险较高的场景主要出现在公开暴露的递归DNS解析器或权威DNS服务器。若DNS服务允许来自任意来源的查询请求，攻击者即可远程发送特制数据包触发漏洞，导致域名解析服务中断，因此此类部署模式更容易成为拒绝服务攻击的目标。

尽管ISC公告未提及该漏洞是否已被大规模利用，但鉴于DNS在网络服务中的关键地位，该漏洞仍可能被用于实施拒绝服务攻击，相关单位应尽快评估环境风险并完成补丁更新。