BIND域名系統再現高危DoS漏洞
責編:mhshi |2017-02-14 14:17:04互聯網系統協會(Internet Systems Consortium,ISC)近期修復了BIND域名系統中存在的DoS漏洞 — CVE-2017-3135。Infoblox公司的Ramesh Damodaran和Aliaksandr?Shubnik報告了該漏洞。
CVE-2017-3135影響了BIND 9.8.8,自9.9.3之后的所有9.9版本,所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修復了該漏洞。該漏洞被列為“高危漏洞”(通用安全漏洞評分系統CVSS評分7.5),在服務器使用特定配置的情況下,可被遠程利用。
ISC發布公告指出,“同時使用DNS64(配合NAT64實現IPv4-IPv6互訪的關鍵部件,主要功能是合成AAAA記錄和維護AAAA記錄)和RPZ的某些配置時,可能導致INSIST斷言失敗(Assertion Failure)或讀取NULL 指針。當同時使用DNS64和RPZ(Response Policy Zones:響應策略區)重寫查詢響應時,查詢響應可能不一致,從而導致INSIST斷言失敗,或嘗試NULL指針讀取”。
只有同時使用DNS64和RPZ的服務器存在潛在威脅。
ISC補充道,如果這種情況發生,將會導致INSIST斷言失敗(隨后中止)或嘗試讀取NULL指針。在大多數平臺上,NULL指針讀取會導致分段錯誤(SEGFAULT),從而導致進程終止。
ISC在公告中建議,從配置中移除DNS64和RPZ,或限制RPZ的內容。最安全的方式還是升級到最新版本。
2017年1月,ISC發布升級版本解決BIND中存在的四大高危漏洞(CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444)。這些漏洞如果被遠程攻擊者利用,會導致拒絕服務(DoS)。
攻擊者可以利用這些漏洞使BIND命名服務器進程出現斷言失敗,或停止執行進程。
關于BIND
BIND是一款開源DNS服務器軟件,由美國加州大學伯克利分校開發并維護,全名為Berkeley Internet Name Domain(BIND), 它是目前世界上使用最為廣泛的DNS服務器軟件,支持各種unix平臺和windows平臺.