关于BIND9被披露存在远程拒绝服务漏洞的情况公告

2014-12-11 10:44:16

安全公告编号:CNTA-2014-0035

12月9日,CNVD收录了域名解析系统软件BIND 9 存在的一个远程拒绝服务漏洞(CNVD-2014-08772,对应CVE-2014-8500),允许攻击者利用变更管理BIND 9影响区域委派的相关配置,这使得其他BIND服务器跟随区域委派的配置进行无限制次数查询,导致域名解析服务崩溃。目前厂商已经提供了修复补丁。

一、漏洞情况分析

BIND(Berkeley Internet Name Daemon)是由互联网软件系统联盟(ISC)一款互联网上广泛应用的DNS域名解析系统软件。近期,ISC官方网站更新披露了BIND9存在的一个远程拒绝服务漏洞,通过恶意构造的DNS区域配置文件或者伪造服务器的方式,攻击者可变更管理BIND 9影响区域委派的相关配置,这使得其他BIND服务器跟随区域委派的配置进行无限制次数查询,导致消耗大量内存或系统资源。如果攻击者可控制接受权威服务器遍历的委派配置,那么也会对权威服务器造成影响。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

所有的递归解析器都会受到漏洞影响,在部分攻击条件下权威服务器也会受到影响。具体影响版本如下所示:

BIND9.0.x-9.8.x

BIND9.9.0-9.9.6,

BIND9.10.0-9.10.1

三、漏洞处置建议

目前厂商已经提供了BIND9.9或者9.10的补丁升级程序,建议相关用户参考以下链接及时下载更新:

http://www.isc.org/downloads

参考链接:

https://kb.isc.org/article/AA-01216