ISCBIND存在多个拒绝服务高危漏洞.docVIP

ISC BIND存在多个拒绝服务高危漏洞 近日，国家信息安全漏洞共享平台（CNVD）收录了 ISC BIND 存在三个拒绝服务高危漏洞（CNVD-2016-01548、CNVD-2016-01549、CNVD-2016-01550，对应 CVE-2016-1286、CVE-2016-1285、CVE-2016-2088）。BIND 是美国 Internet Systems Consortium （ISC）组织所维护的一套 DNS 域名解析服务软件，远程攻击者可利用上述漏洞，可发起拒绝服务攻击，对互联网上广泛应用 BIND 系统解析软件的域名服务器构成安全运行风险。 一、 ISC BIND DNAME 解析记录签名校验拒绝服务漏洞 （CNVD-2016-01548，CVE-2016-1286） BIND 服务器上 DNAME 解析记录支持签名校验。攻击者利用漏洞让服务器对恶意请求 （包含 DNAME 解析记录签名校验）进行响应，导致 resolver.c 或 db.c.发生断言错误， 2 最终导致 BIND named 主进程崩溃，造成拒绝服务攻击。递 归解析器均受到漏洞的影响，而当权威服务器在特定条件下 （比如 Slave master 发起 SOA 查询时）也有可能受到影响。 即使权威服务器不进行身份验证或完全禁止 DNSSEC 配置， 只要其接受包含恶意签名校验的应答， 也将受到影响。 CNVD 对漏洞的综合评级均为“高危”。 漏洞影响 ISC BIND 9.0.0 - 9.8.8, 9.9.0 - 9.9.8-P3, 9.9.3-S1 - 9.9.8-S5, 9.10.0 - 9.10.3-P3 版本， 用户可将程序 分别升级至 9.9.8-P4，9.10.3-P4，9.9.8-S6 版本。 二、ISC BIND rndc 控制实例拒绝服务漏洞 （CNVD-2016-01549，CVE-2016-1285） BIND rndc 控制实例对请求输入处理存在设计缺陷，该 漏洞可导致 sexpr.c 或 alist.c 发生断言失败，最终导致在给 named 进程发送畸形数据包时，named 进程退出（BIND 可 使用 rndc 工具来管理域名系统服务）。由于该攻击过程可发 生在在身份验证前以及基于网络地址的访问控制之后，攻击 者不需要进行任何身份验证，但是其需要匹配在 named.conf 配置文件的 controls 选项所指定的地址列表。如果没有设置 controls 选项，则会在本地回环通路（127.0.0.1 和::1）监听 数据包。CNVD 对漏洞的综合评级均为“高危”。 漏洞影 响 9.2.0 - 9.8.8, 9.9.0-9.9.8-P3, 9.9.3-S1-9.9.8-S5, 9.10.0-9.10.3-P3 版本，用户可将程序分 3 别升级至 9.9.8-P4，9.10.3-P4， 9.9.8-S6 版本。临时情况下， 可限制对外部连接的访问（通过利用 named.conf 中的 controls配置语句），只允许与可信地址进行连接。 三、ISC BIND 查询包 cookie 选项拒绝服务漏洞 （CNVD-2016-01550，CVE-2016-2088） BIND 9.10 为 DNS cookies（或用户身份辨别）提供原 生支持，该机制旨在保护查询请求方和域名服务器进行交互 时的安全。 攻击者可恶意构造包含多个 cookie 选项的数据包 导致解析器(resolver.c)发生 INSIST 断言失败，从而终止 named 主进程。 初始部署时配置有 DNS cookie 支持的服务器 会受到这一漏洞的影响， 而未配置 cookie 支持选项的在接收 到攻击包时会忽略数据包而不会受到影响。 CNVD 对漏洞的 综合评级均为“高危”。 漏洞影响 BIND 9.10.0 - 9.10.3-P3 版本，用户可将程序 升级至 9.10.3-P4 版本。UNIX/Linux 平台支持源编译的 BIND 9.10 版本中，cookie 支持选项不是默认选中的，需要 在安装时运行configure脚本时使用--enable-sit命令行参 数来选择 cookie 支持选项。 受影响的服务器的用户如果不希 望更新至已修复版本，可以自行对 BIND 进行重新编译和部 署配置，去掉 cookie 支持选项。而由 ISC 提供的 Windows 版本中默认有选中--enable-sit命令行参数，使用 Windows 版本的用户应尽快更新版本。