BIND域名系统再现高危DoS漏洞

互联网系统协会(Internet Systems Consortium,ISC)近期修复了BIND域名系统中存在的DoS漏洞 — CVE-2017-3135。Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik报告了该漏洞。

bind

 

CVE-2017-3135影响了BIND 9.8.8,自9.9.3之后的所有9.9版本,所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修复了该漏洞。该漏洞被列为“高危漏洞”(通用安全漏洞评分系统CVSS评分7.5),在服务器使用特定配置的情况下,可被远程利用。

 

ISC发布公告指出,“同时使用DNS64(配合NAT64实现IPv4-IPv6互访的关键部件,主要功能是合成AAAA记录和维护AAAA记录)和RPZ的某些配置时,可能导致INSIST断言失败(Assertion Failure)或读取NULL 指针。当同时使用DNS64和RPZ(Response Policy Zones:响应策略区)重写查询响应时,查询响应可能不一致,从而导致INSIST断言失败,或尝试NULL指针读取”。

只有同时使用DNS64和RPZ的服务器存在潜在威胁。

ISC补充道,如果这种情况发生,将会导致INSIST断言失败(随后中止)或尝试读取NULL指针。在大多数平台上,NULL指针读取会导致分段错误(SEGFAULT),从而导致进程终止。

ISC在公告中建议,从配置中移除DNS64和RPZ,或限制RPZ的内容。最安全的方式还是升级到最新版本。

2017年1月,ISC发布升级版本解决BIND中存在的四大高危漏洞(CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444)。这些漏洞如果被远程攻击者利用,会导致拒绝服务(DoS)。

攻击者可以利用这些漏洞使BIND命名服务器进程出现断言失败,或停止执行进程。

关于BIND

BIND是一款开源DNS服务器软件,由美国加州大学伯克利分校开发并维护,全名为Berkeley Internet Name Domain(BIND), 它是目前世界上使用最为广泛的DNS服务器软件,支持各种unix平台和windows平台.

上一篇:针对国际银行的网络攻击与索尼所受攻击相关

下一篇:RSA 2017关注五大热门议题