BIND DNS软件存在严重缺陷,可被远程攻击者利用导致拒绝服务(DoS)
时间 : 2018-08-14 编辑 : DNS智能解析专家 来源 : DNS.COM
互联网系统联盟(ISC)警告说,可以利用一个严重的漏洞在开源BIND软件中发起拒绝服务(DoS)攻击。ISC的伯克利互联网域名域名(BIND)软件是一种开源域名系统(DNS)解决方案,在全球范围内用于在线发布DNS数据和DNS查询解析。
该软件起源于20世纪80年代的加州大学伯克利分校,它声称是互联网上使用最广泛的DNS软件。然而,由于影响多个版本软件的漏洞,这种普及可能为威胁行为者创造了肥沃的土壤。
上周三,国际学习中心发布了安全咨询警告CVE-2018-5740,这是BIND中“deny-answer-aliases”功能中的一个错误。漏洞是由剑桥大学的Tony Finch发现的,该漏洞被指定为7.5的CVSS评分,专家指出该缺陷仅影响具有“deny-answer-aliases”功能的服务器,庆幸的是默认情况下禁用此特定功能。
“deny-answer-aliases”是一个很少使用的功能,旨在帮助递归服务器运营商保护最终用户免受DNS重新绑定攻击,这是一种绕过客户端浏览器使用的安全模型的潜在方法。DNS重新绑定攻击允许任何网站创建他们有权与之通信的DNS名称,然后将其解析为localhost。远程黑客滥用目标用户的浏览器直接连接本地网络上的主机并利用这些系统中的漏洞。
但是,此功能中的缺陷使得在使用该功能时,系统中的缺陷(无论是意外触发还是远程触发)可能导致命令退出并导致命名的INSIST断言失败。导致命名进程停止执行并导致拒绝为客户端提供服务。只有明确启用了“deny-answer-aliases”功能的服务器才有风险,禁用该功能会阻止攻击。
目前BIND版本9.7.0 - 9.8.8,9.9.0 - 9.9.13,9.10.0 - 9.10.8,9.11.0 - 9.11.4,9.12.0 - 9.12.2和9.13.0 - 9.13.2都受到影响。
如果被利用,该漏洞可用于危害BIND并远程启动DoS攻击。但是,由于必须明确启用该功能,因此危险仅在于“deny-answer-aliases”处于活动状态的系统中。
ISC发布了一个安全补丁,在9.9.13-P1、9.10.8-P1、9.11.4-P1和9.12.2-P1版本中实现。该组织还提供了一种解决方法,其中包括禁用“deny-answer-aliases”功能。
如果您正在使用”deny-answer-aliases“,都应该升级到与您当前版本的BIND最密切相关的修补版本,或者禁用该功能,以保护自己免受攻击。