关于ISC BIND 存在多个拒绝服务高危漏洞的有关情况通报

发布者:xjzx01发布时间:2019-04-20浏览次数:614

近日,国家信息安全漏洞共享平台(CNVD)收录了ISC BIND存在三个拒绝服务高危漏洞(CNVD-2016-01548、CNVD-2016-01549、CNVD-2016-01550,对应CVE-2016-1286、CVE-2016-1285、CVE-2016-2088)。BIND是美国Internet Systems Consortium(ISC)组织所维护的一套DNS域名解析服务软件,远程攻击者可利用上述漏洞,可发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。CNCERT第一时间对上述三个高危漏洞的相关情况进行了解和分析,具体通报如下:

一、ISC BIND DNAME解析记录签名校验拒绝服务漏洞(CNVD-2016-01548,CVE-2016-1286)

BIND服务器上DNAME解析记录支持签名校验。攻击者利用漏洞让服务器对恶意请求(包含DNAME解析记录签名校验)进行响应,导致resolver.c或 db.c.发生断言错误,最终导致BIND named主进程崩溃,造成拒绝服务攻击。递归解析器均受到漏洞的影响,而当权威服务器在特定条件下(比如Slave master发起SOA查询时)也有可能受到影响。即使权威服务器不进行身份验证或完全禁止DNSSEC配置,只要其接受包含恶意签名校验的应答,也将受到影响。CNVD对漏洞的综合评级均为“高危”。

漏洞影响ISC BIND 9.0.0 -> 9.8.8, 9.9.0 -> 9.9.8-P3, 9.9.3-S1 -> 9.9.8-S5, 9.10.0 -> 9.10.3-P3版本,用户可将程序分别升级至 9.9.8-P4,9.10.3-P4,9.9.8-S6版本。

二、ISC BIND rndc控制实例拒绝服务漏洞(CNVD-2016-01549,CVE-2016-1285)

BIND rndc控制实例对请求输入处理存在设计缺陷,该漏洞可导致sexpr.c 或alist.c发生断言失败,最终导致在给named进程发送畸形数据包时,named进程退出(BIND可使用rndc工具来管理域名系统服务)。由于该攻击过程可发生在在身份验证前以及基于网络地址的访问控制之后,攻击者不需要进行任何身份验证,但是其需要匹配在named.conf 配置文件的controls选项所指定的地址列表。如果没有设置controls选项,则会在本地回环通路(127.0.0.1和::1)监听数据包。CNVD对漏洞的综合评级均为“高危”。

漏洞影响9.2.0 -> 9.8.8, 9.9.0->9.9.8-P3, 9.9.3-S1->9.9.8-S5, 9.10.0->9.10.3-P3版本,用户可将程序分别升级至9.9.8-P4,9.10.3-P4, 9.9.8-S6版本。临时情况下,可限制对外部连接的访问(通过利用named.conf中的controls配置语句),只允许与可信地址进行连接。

三、ISC BIND查询包cookie选项拒绝服务漏洞(CNVD-2016-01550,CVE-2016-2088)

BIND 9.10 为DNS cookies(或用户身份辨别)提供原生支持,该机制旨在保护查询请求方和域名服务器进行交互时的安全。攻击者可恶意构造包含多个cookie选项的数据包导致解析器(resolver.c)发生 INSIST断言失败,从而终止named主进程。初始部署时配置有 DNS cookie支持的服务器会受到这一漏洞的影响,而未配置cookie支持选项的在接收到攻击包时会忽略数据包而不会受到影响。 CNVD对漏洞的综合评级均为“高危”。

漏洞影响BIND 9.10.0 -> 9.10.3-P3版本,用户可将程序升级至9.10.3-P4版本。UNIX/Linux平台支持源编译的BIND 9.10版本中,cookie支持选项不是默认选中的,需要在安装时运行configure脚本时使用--enable-sit命令行参数来选择cookie支持选项。受影响的服务器的用户如果不希望更新至已修复版本,可以自行对BIND进行重新编译和部署配置,去掉cookie支持选项。而由ISC提供的Windows版本中默认有选中--enable-sit命令行参数,使用Windows版本的用户应尽快更新版本。


Baidu
map