FreeBSD のOSから毎日届くセキュリティーレポートに、”unbound — Possible domain hijacking via promiscuous records in the authority section” という脆弱性警告が含まれていました。
ドメインハイジャックという言葉は気になるけど、ドメインはプロバイダー側のサーバーで管理されているので、乗っ取りは無理でしょ。と思い、英語のレポートを読んでみたものの、現象と原因の関係がよくわからない。
https://scan.netsecurity.ne.jp/article/2025/10/30/53921.html
というページに、日本語で書かれた内容があったの読んでみたけど、これでもよくわからない。DNSのキャッシュ(すでに名前解決して再参照に備えて保持されているレコード)が外部からの攻撃で、汚染されるので、URLで指定したホストだと思ってアクセスしたら、偽サイトかもしれないというものらしい。
現象は理解できるものの、キャッシュって、BIND側が管理しているんじゃないの?OS側の問題? よくわからないものの、毎日、脆弱性があるとレポートが届くのは嫌なので、プライベートネット側だけで動いている FreeBSD 13.5 のマシンに、freebsd-update を掛けて最新版にしてみました。
結果、更新されるファイルがわかりました。
The following files will be updated as part of updating to 13.5-RELEASE-p7: /bin/freebsd-version /usr/lib/libprivateunbound.a /usr/lib/libprivateunbound.so.5 /usr/lib/libprivateunbound_p.a /usr/src/contrib/unbound/iterator/iter_scrub.c /usr/src/sys/conf/newvers.sh Installing updates...
ライブラリーとそれに関するソースコードが置き換えられるだけで kernel はそのまま。再起動しなくていいわけだから、気は楽。
脆弱性の現象に関してはよくわからないけど、外部から見えるサーバーを freebsd-update コマンドで対策しておくことにしました。
明日、脆弱性レポートに CVE-2025-11411 が含まれていなければ解決。