安全公告编号:CNTA-2017-0002

近日，国家信息安全漏洞共享平台（CNVD）收录了ISC BIND存在的多个拒绝服务高危漏洞（CNVD-2017-00382、CNVD-2017-00383、CNVD-2017-00384、CNVD-2017-00385，对应CVE-2016-9444、CVE-2016-9147、CVE-2016-9131、CVE-2016-9778）。远程攻击者利用上述漏洞，可发起拒绝服务攻击，对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。

BIND是美国InternetSystemsConsortium（ISC）组织所维护的一套DNS域名解析服务软件，近期存在的四个高危漏洞如下：

漏洞名称	漏洞描述	影响版本	升级版本
ISC BIND 9 DS响应断言失败拒绝服务漏洞 （CNVD-2017-00382，CVE-2016-9444）	ISC BIND 9存在DS响应断言失败拒绝服务漏洞。远程攻击者利用漏洞通过特制的DS资源记录响应可造成断言失败和守护进程退出，导致拒绝服务。	9.6-ESV-R9 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1	9.9.9-P5，9.10.4-P5，9.11.0-P2
ISC BIND 9 DNSSEC断言失败拒绝服务漏洞 （CNVD-2017-00383，CVE-2016-9147）	ISC BIND named存在远程拒绝服务漏洞，攻击者利用漏洞通过错误处理包含DNSSEC-related RRsets查询响应可造成断言失败和守护进程退出，导致拒绝服务。DNSSEC-enabled权威服务器在给递归服务器的响应中包含RRSIG和其他RRsets，DNSSEC-validating服务器对DS和其他RRsets执行特定查询。DNSSEC-enabled查询与否，错误处理不同RRsets查询响应的畸形数据包都会触发断言失败。	9.9.9-P4, 9.9.9-S6, 9.10.4-P4, 9.11.0-P1	9.9.9-P5，9.10.4-P5， 9.11.0-P2
ISC BIND 9 RTYPE ANY断言失败拒绝服务漏洞（CNVD-2017-00384，CVE-2016-9131）	ISC BIND 9存在RTYPE ANY断言失败拒绝服务漏洞。当named尝试添加RRs查询响应的缓存，递归服务器接收RTYPE ANY畸形查询响应可造成断言失败和守护进程退出，导致拒绝服务。远程攻击者利用漏洞通过畸形RTYPE ANY查询响应可发起拒绝服务攻击。	9.4.0 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1	9.9.9-P5，9.10.4-P5，9.11.0-P2
ISC BIND 9 db.c断言失败拒绝服务漏洞 （CNVD-2017-00385，CVE-2016-9778）	ISC BIND 9存在db.c断言失败拒绝服务漏洞。当权威服务器使用nxdomain-redirect功能覆盖区域，攻击者通过错误处理特定的查询可造成断言失败，导致拒绝服务。	9.9.8-S1 -> 9.9.8-S3, 9.9.9-S1 -> 9.9.9-S6, 9.11.0-9.11.0 -> P1	9.11.0-P2

 上述漏洞中CNVD-2017-00382、CNVD-2017-00383、CNVD-2017-00384均发生在处理接收查询响应的数据包中，递归服务器受该漏洞影响最大，权威服务器仅在执行一组有限查询时受威胁。针对CNVD-2017-00385漏洞，仅当NXDOMAIN重定向服务器使用nxdomain-redirect功能，且服务器提供权威服务时受该漏洞影响，而递归服务器不受漏洞影响。CNVD对上述漏洞的综合评级均为“高危”。

附：参考链接：

https://kb.isc.org/article/AA-01439/0

https://kb.isc.org/article/AA-01440/0

https://kb.isc.org/article/AA-01441/0

https://kb.isc.org/article/AA-01442/0

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00382

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00383

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00384

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00385