全球广泛使用的DNS解析软件BIND与Unbound近日被曝出存在缓存投毒漏洞,安全专家警告此类问题可能导致用户被重定向至仿冒网站,难以辨识真伪。漏洞编号为CVE-2025-40778和CVE-2025-40780,分别源自逻辑错误和伪随机数生成不足,危害评分高达8.6。Unbound同类漏洞评分为5.6。
这些漏洞回溯到2008年著名的Kaminsky缓存投毒攻击,使DNS缓存再次面临大规模攻击风险。研究人员指出,攻击者若成功利用该漏洞,能够污染整个DNS缓存系统,大量终端用户将被重定向至恶意网站。
目前,BIND开发方已发出安全警告,并鼓励用户尽快采取补丁措施以减缓威胁。Unbound方面也已针对相关漏洞发布警示和应急建议。