BIND域名系統(tǒng)再現(xiàn)高危DoS漏洞
責(zé)編:mhshi |2017-02-14 14:17:04互聯(lián)網(wǎng)系統(tǒng)協(xié)會(Internet Systems Consortium,ISC)近期修復(fù)了BIND域名系統(tǒng)中存在的DoS漏洞 — CVE-2017-3135。Infoblox公司的Ramesh Damodaran和Aliaksandr?Shubnik報告了該漏洞。
CVE-2017-3135影響了BIND 9.8.8,自9.9.3之后的所有9.9版本,所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修復(fù)了該漏洞。該漏洞被列為“高危漏洞”(通用安全漏洞評分系統(tǒng)CVSS評分7.5),在服務(wù)器使用特定配置的情況下,可被遠(yuǎn)程利用。
ISC發(fā)布公告指出,“同時使用DNS64(配合NAT64實現(xiàn)IPv4-IPv6互訪的關(guān)鍵部件,主要功能是合成AAAA記錄和維護(hù)AAAA記錄)和RPZ的某些配置時,可能導(dǎo)致INSIST斷言失敗(Assertion Failure)或讀取NULL 指針。當(dāng)同時使用DNS64和RPZ(Response Policy Zones:響應(yīng)策略區(qū))重寫查詢響應(yīng)時,查詢響應(yīng)可能不一致,從而導(dǎo)致INSIST斷言失敗,或嘗試NULL指針讀取”。
只有同時使用DNS64和RPZ的服務(wù)器存在潛在威脅。
ISC補(bǔ)充道,如果這種情況發(fā)生,將會導(dǎo)致INSIST斷言失敗(隨后中止)或嘗試讀取NULL指針。在大多數(shù)平臺上,NULL指針讀取會導(dǎo)致分段錯誤(SEGFAULT),從而導(dǎo)致進(jìn)程終止。
ISC在公告中建議,從配置中移除DNS64和RPZ,或限制RPZ的內(nèi)容。最安全的方式還是升級到最新版本。
2017年1月,ISC發(fā)布升級版本解決BIND中存在的四大高危漏洞(CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444)。這些漏洞如果被遠(yuǎn)程攻擊者利用,會導(dǎo)致拒絕服務(wù)(DoS)。
攻擊者可以利用這些漏洞使BIND命名服務(wù)器進(jìn)程出現(xiàn)斷言失敗,或停止執(zhí)行進(jìn)程。
關(guān)于BIND
BIND是一款開源DNS服務(wù)器軟件,由美國加州大學(xué)伯克利分校開發(fā)并維護(hù),全名為Berkeley Internet Name Domain(BIND), 它是目前世界上使用最為廣泛的DNS服務(wù)器軟件,支持各種unix平臺和windows平臺.
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧