安全公告编号:CNTA-2017-0028
近日,国家信息安全漏洞共享平台(CNVD)收录了ISC BIND 9存在的多个拒绝服务高危漏洞(CNVD-2017-04456、CNVD-2017-04457、CNVD-2017-04458,对应CVE-2017-3136、CVE-2017-3137、CVE-2017-3138)。攻击者利用上述漏洞中的任何一个即可发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。
一、漏洞情况分析
BIND是美国InternetSystemsConsortium(ISC)组织所维护的一套DNS域名解析服务软件,近期存在的三个拒绝服务漏洞如下:
二、防护建议
在上述三个漏洞中,值得注意的是BIND 9 DNS递归解析器拒绝服务漏洞(CNVD-2017-04457、CVE-2017-3137),远程攻击者可利用漏洞向递归服务器发出特定构造的CNAME或DNAME资源记录的请求,导致服务断言失败而拒绝服务。权威服务器若开放递归服务也有可能受到漏洞影响。CNVD对上述漏洞的综合评级均为“高危”。
互联网系统联盟(ISC)已经发布最新版本修复了上述漏洞,CNVD建议用户及时关注厂商,更新至以下版本:
BIND 9 version 9.9.9-P8
BIND 9 version 9.10.4-P8
BIND 9 version 9.11.0-P5
BIND 9 version 9.9.9-S10
附:参考链接:
https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND
http://www.cnvd.org.cn/flaw/show/CNVD-2017-04456