新技术论坛
搜索
查看: 950|回复: 0
打印 上一主题 下一主题

[漏洞信息] 国家互联网应急中心:关于ISC BIND 存在多个拒绝服务高危漏洞的有关情况通报

[复制链接]
  • TA的每日心情
    开心
    2016-10-18 06:23
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-3-21 01:52:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    近日,国家信息安全漏洞共享平台(CNVD)收录了ISC BIND存在三个拒绝服务高危漏洞(CNVD-2016-01548、CNVD-2016-01549、CNVD-2016-01550,对应CVE-2016-1286、CVE-2016-1285、CVE-2016-2088)。BIND是美国Internet Systems Consortium(ISC)组织所维护的一套DNS域名解析服务软件,远程攻击者可利用上述漏洞,可发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。CNCERT第一时间对上述三个高危漏洞的相关情况进行了解和分析,具体通报如下:

            一、ISC BIND DNAME解析记录签名校验拒绝服务漏洞(CNVD-2016-01548,CVE-2016-1286)

            BIND服务器上DNAME解析记录支持签名校验。攻击者利用漏洞让服务器对恶意请求(包含DNAME解析记录签名校验)进行响应,导致resolver.c或 db.c.发生断言错误,最终导致BIND named主进程崩溃,造成拒绝服务攻击。递归解析器均受到漏洞的影响,而当权威服务器在特定条件下(比如Slave master发起SOA查询时)也有可能受到影响。即使权威服务器不进行身份验证或完全禁止DNSSEC配置,只要其接受包含恶意签名校验的应答,也将受到影响。CNVD对漏洞的综合评级均为“高危”。

            漏洞影响ISC BIND 9.0.0 -> 9.8.8, 9.9.0 -> 9.9.8-P3, 9.9.3-S1 -> 9.9.8-S5, 9.10.0 -> 9.10.3-P3版本,用户可将程序分别升级至 9.9.8-P4,9.10.3-P4,9.9.8-S6版本。

            二、ISC BIND rndc控制实例拒绝服务漏洞(CNVD-2016-01549,CVE-2016-1285)

            BIND rndc控制实例对请求输入处理存在设计缺陷,该漏洞可导致sexpr.c 或alist.c发生断言失败,最终导致在给named进程发送畸形数据包时,named进程退出(BIND可使用rndc工具来管理域名系统服务)。由于该攻击过程可发生在在身份验证前以及基于网络地址的访问控制之后,攻击者不需要进行任何身份验证,但是其需要匹配在named.conf 配置文件的controls选项所指定的地址列表。如果没有设置controls选项,则会在本地回环通路(127.0.0.1和::1)监听数据包。CNVD对漏洞的综合评级均为“高危”。

            漏洞影响9.2.0 -> 9.8.8, 9.9.0->9.9.8-P3, 9.9.3-S1->9.9.8-S5, 9.10.0->9.10.3-P3版本,用户可将程序分别升级至9.9.8-P4,9.10.3-P4, 9.9.8-S6版本。临时情况下,可限制对外部连接的访问(通过利用named.conf中的"controls"配置语句),只允许与可信地址进行连接。

            三、ISC BIND查询包cookie选项拒绝服务漏洞(CNVD-2016-01550,CVE-2016-2088)

            BIND 9.10 为DNS cookies(或用户身份辨别)提供原生支持,该机制旨在保护查询请求方和域名服务器进行交互时的安全。攻击者可恶意构造包含多个cookie选项的数据包导致解析器(resolver.c)发生 INSIST断言失败,从而终止named主进程。初始部署时配置有 DNS cookie支持的服务器会受到这一漏洞的影响,而未配置cookie支持选项的在接收到攻击包时会忽略数据包而不会受到影响。 CNVD对漏洞的综合评级均为“高危”。

            漏洞影响BIND 9.10.0 -> 9.10.3-P3版本,用户可将程序升级至9.10.3-P4版本。UNIX/Linux平台支持源编译的BIND 9.10版本中,cookie支持选项不是默认选中的,需要在安装时运行"configure"脚本时使用"--enable-sit"命令行参数来选择cookie支持选项。受影响的服务器的用户如果不希望更新至已修复版本,可以自行对BIND进行重新编译和部署配置,去掉cookie支持选项。而由ISC提供的Windows版本中默认有选中"--enable-sit"命令行参数,使用Windows版本的用户应尽快更新版本。

            CNCERT 将继续跟踪事件后续情况。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。



    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 14:52 , Processed in 0.126107 second(s), 23 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表