ISCBIND存在多个拒绝服务高危漏洞
ISC BIND存在多个拒绝服务高危漏洞
近日,国家信息安全漏洞共享平台(CNVD)收录了 ISC BIND 存在三个拒绝服务高危漏洞(CNVD-2016-01548、CNVD-2016-01549、CNVD-2016-01550,对应 CVE-2016-1286、CVE-2016-1285、CVE-2016-2088)。BIND 是美国 Internet Systems Consortium (ISC)组织所维护的一套 DNS 域名解析服务软件,远程攻击者可利用上述漏洞,可发起拒绝服务攻击,对互联网上广泛应用 BIND 系统解析软件的域名服务器构成安全运行风险。 一、 ISC BIND DNAME 解析记录签名校验拒绝服务漏洞
(CNVD-2016-01548,CVE-2016-1286) BIND 服务器上 DNAME 解析记录支持签名校验。攻击者利用漏洞让服务器对恶意请求 (包含 DNAME 解析记录签名校验)进行响应,导致 resolver.c 或 db.c.发生断言错误, 2
最终导致 BIND named 主进程崩溃,造成拒绝服务攻击。递
归解析器均受到漏洞的影响,而当权威服务器在特定条件下
(比如 Slave master 发起 SOA 查询时)也有可能受到影响。
即使权威服务器不进行身份验证或完全禁止 DNSSEC 配置,
只要其接受包含恶意签名校验的应答, 也将受到影响。 CNVD 对漏洞的综合评级均为“高危”。
漏洞影响 ISC BIND 9.0.0 -> 9.8.8, 9.9.0 -> 9.9.8-P3,
9.9.3-S1 -> 9.9.8-S5, 9.10.0 -> 9.10.3-P3 版本, 用户可将程序
分别升级至 9.9.8-P4,9.10.3-P4,9.9.8-S6 版本。
二、ISC BIND rndc 控制实例拒绝服务漏洞
(CNVD-2016-01549,CVE-2016-1285)
BIND rndc 控制实例对请求输入处理存在设计缺陷,该
漏洞可导致 sexpr.c 或 alist.c 发生断言失败,最终导致在给
named 进程发送畸形数据包时,named 进程退出(BIND 可
使用 rndc 工具来管理域名系统服务)。由于该攻击过程可发
生在在身份验证前以及基于网络地址的访问控制之后,攻击
者不需要进行任何身份验证,但是其需要匹配在 named.conf 配置文件的 controls 选项所指定的地址列
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
。如果没有设置
controls 选项,则会在本地回环通路(127.0.0.1 和::1)监听
数据包。CNVD 对漏洞的综合评级均为“高危”。
漏洞影 响
9.2.0
->
9.8.8,
9.9.0->9.9.8-P3,
9.9.3-S1->9.9.8-S5, 9.10.0->9.10.3-P3 版本,用户可将程序分
3
别升级至 9.9.8-P4,9.10.3-P4, 9.9.8-S6 版本。临时情况下,
可限制对外部连接的访问(通过利用 named.conf 中的
"controls"配置语句),只允许与可信地址进行连接。 三、ISC BIND 查询包 cookie 选项拒绝服务漏洞
(CNVD-2016-01550,CVE-2016-2088)
BIND 9.10 为 DNS cookies(或用户身份辨别)提供原 生支持,该机制旨在保护查询请求方和域名服务器进行交互 时的安全。 攻击者可恶意构造包含多个 cookie 选项的数据包 导致解析器(resolver.c)发生 INSIST 断言失败,从而终止 named 主进程。 初始部署时配置有 DNS cookie 支持的服务器 会受到这一漏洞的影响, 而未配置 cookie 支持选项的在接收 到攻击包时会忽略数据包而不会受到影响。 CNVD 对漏洞的 综合评级均为“高危”。
漏洞影响 BIND 9.10.0 -> 9.10.3-P3 版本,用户可将程序 升级至 9.10.3-P4 版本。UNIX/Linux 平台支持源编译的 BIND 9.10 版本中,cookie 支持选项不是默认选中的,需要 在安装时运行"configure"脚本时使用"--enable-sit"命令行参 数来选择 cookie 支持选项。 受影响的服务器的用户如果不希 望更新至已修复版本,可以自行对 BIND 进行重新编译和部 署配置,去掉 cookie 支持选项。而由 ISC 提供的 Windows 版本中默认有选中"--enable-sit"命令行参数,使用 Windows 版本的用户应尽快更新版本。