ISC发布DNS软件BIND更新 修复其中数个可远程利用的DoS漏洞 CVE-2017-3136 3137 3138

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

在2016年,BIND曾经出现过两次漏洞。 绿盟科技发布ISC BIND 9 DoS漏洞技术分析与防护方案 , BIND9 DoS漏洞CVE-2016-8864 绿盟科技发布技术分析与防护方案 北京有1435台设备受影响 。本周,互联网系统协会(ISC)又发布了DNS软件BIND更新,修复了可远程利用的数个拒绝服务漏洞。BIND 9.9.9-P8、9.10.4-P8和9.11.0-P5中修复了可导致声明失败的三个安全漏洞。绿盟科技发布安全威胁通告,全文见后。

三个漏洞中CVE-2017-3137为高风险漏洞

这三个漏洞中,最严重的是CVE-2017-3137,该漏洞为高风险级别,CVSS分为7.5。该漏洞可使攻击者创造DoS条件,主要影响递归解析器,但权威服务器在进行递归操作时也有可能受到影响。ISC在发布的安全通告中称,

“进行递归操作的服务器若接收到包含某种排序的CNAME或DNAME资源记录的响应,会出现声明失败错误,而导致强制退出。”

最新的BINS更新修复的另一个漏洞为CVE-2017-3136。该漏洞为中风险级别,影响使用包含break-dnssec yes;选项的DNS64服务的服务器。

修复的第三个漏洞为CVE-2017-3138。攻击者可利用该漏洞通过在其控制信道上发送空命令使BIND名称服务器流程退出。然而,仅能通过可接入控制信道的主机远程利用该漏洞。

ISC说,没有证据表明,这三个漏洞中的任何一个已被利用。

BIND面临新反射攻击风险

本月初,Ixia的安全软件工程师Oana Murarasu报告说发现了一种DDoS攻击放大的新方法。专家发现,BIND的递归DNS解析器可使攻击者通过DNAME根查询响应进行放大攻击。Murarasu解释说,

“放大攻击会生成多个响应,其大小是查询请求的10倍或更大。也就是说,受害者每发送1 Mb流量就会收到10 Mb。”

该问题已上报给了ISC,但组织认为这些攻击是协议设计问题导致,而非BIND自身漏洞。Ixia表示,Microsoft的DNS服务器不易感染这些攻击。

绿盟科技发布《ISC BIND 9多个远程拒绝服务漏洞安全威胁通告》

当地时间12日(北京时间13日),ISC发布DNS软件BIND 9更新,修复了3个远程拒绝服务(DOS)漏洞。

CVE编号: CVE-2017-3136, CVE-2017-3137, CVE-2017-3138。

相关地址:

https://kb.isc.org/article/AA-01471/0

https://kb.isc.org/article/AA-01466/0

https://kb.isc.org/article/AA-01465/0

漏洞描述如下:

CVE ID

威胁程度

攻击方式

描述

CVE-2017-3136

远程

使用了设置“break-dnsses”参数为“yes”的DNS64在处理生成的畸形DNS记录时导致拒绝服务。

CVE-2017-3137

远程

服务器处理一个包含CNAME或者DNAME的畸形响应包时,导致解析器终止,造成拒绝服务。

CVE-2017-3138

远程

允许发送命令的主机在控制信道上发送空命令字符串,会导致后台解析服务程序因为REQUIRE异常而退出。

影响范围

受影响的版本

  • CVE-2017-3136影响的版本:

BIND 9 Version 9.8.0 -> 9.8.8-P1

BIND 9 Version 9.9.0 -> 9.9.9-P6

BIND 9 Version 9.9.10b1->9.9.10rc1

BIND 9 Version 9.10.0 -> 9.10.4-P6

BIND 9 Version 9.10.5b1->9.10.5rc1

BIND 9 Version 9.11.0 -> 9.11.0-P3

BIND 9 Version 9.11.1b1->9.11.1rc1

BIND 9 Version 9.9.3-S1 -> 9.9.9-S8

  • CVE-2017-3137影响的版本:

BIND 9 Version 9.9.9-P6

BIND 9 Version 9.9.10b1->9.9.10rc1

BIND 9 Version 9.10.4-P6

BIND 9 Version 9.10.5b1->9.10.5rc1

BIND 9 Version 9.11.0-P3

BIND 9 Version 9.11.1b1->9.11.1rc1

BIND 9 Version 9.9.9-S8

  • CVE-2017-3138影响的版本:

BIND 9 Version 9.9.9->9.9.9-P7

BIND 9 Version 9.9.10b1->9.9.10rc2

BIND 9 Version 9.10.4->9.10.4-P7

BIND 9 Version 9.10.5b1->9.10.5rc2

BIND 9 Version 9.11.0->9.11.0-P4

BIND 9 Version 9.11.1b1->9.11.1rc2

BIND 9 Version 9.9.9-S1->9.9.9-S9

不受影响的版本

  • 发行版本:

BIND 9 Version 9.9.9-P8

BIND 9 Version 9.10.4-P8

BIND 9 Version 9.11.0-P5

  • 预览版本:

BIND 9 Version 9.9.9-S10

  • 候选版本:

BIND 9 Version 9.9.10rc3

BIND 9 Version 9.10.5rc3

BIND 9 Version 9.11.1rc3

漏洞评估

漏洞攻击条件苛刻,利用难度高,很难实现。

本着企业责任优先的原则,绿盟科技已经开始启动相关的检测和防护工作了,产品会再下次的例行升级包中对本漏洞进行检测和防护。

规避方案

  • ISC官方已经发布补丁和新版本修复相关漏洞,请受影响的用户及时下载更新至不受影响的版本。

相关链接:http://www.isc.org/downloads

  • 使用DNS64的用户可以将“break-dnsses”参数设置为no。
  • 调整ACL策略,对能够访问控制通道的主机严格管控。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年4月14日

本文由:securityWeek发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/isc-released-bind-patch-cve-2017-3137-3136-3138

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
12天前
|
开发框架 安全 .NET
文件上传绕过】——解析漏洞_IIS6.0解析漏洞
文件上传绕过】——解析漏洞_IIS6.0解析漏洞
30 4
|
13天前
|
网络协议 网络安全
基于bind软件部署DNS服务器
关于如何使用bind软件部署DNS服务器的教程,包括DNS服务器的类型、基于bind软件的部署步骤、验证DNS服务器可用性的指导,以及如何进行DNS正向解析的实现。
16 2
基于bind软件部署DNS服务器
|
12天前
|
开发框架 安全 应用服务中间件
【文件上传绕过】——解析漏洞_IIS7.0 | IIS7.5 | Nginx的解析漏洞
【文件上传绕过】——解析漏洞_IIS7.0 | IIS7.5 | Nginx的解析漏洞
27 9
|
6天前
|
存储 SQL 安全
网络安全的盾牌:漏洞防御与加密技术解析
【9月更文挑战第9天】在数字时代,网络安全的重要性日益凸显,它不仅是保护个人隐私和数据安全的屏障,也是维护社会稳定和经济繁荣的关键。本文将深入探讨网络安全中的漏洞防御策略、加密技术的运用以及提升公众安全意识的必要性,旨在通过知识分享,增强大众对网络威胁的防范能力,共同构建更安全的网络环境。
|
16天前
|
API UED 开发者
超实用技巧大放送:彻底革新你的WinForms应用,从流畅动画到丝滑交互设计,全面解析如何在保证性能的同时大幅提升用户体验,让软件操作变得赏心悦目不再是梦!
【8月更文挑战第31天】在Windows平台上,使用WinForms框架开发应用程序时,如何在保持性能的同时提升用户界面的吸引力和响应性是一个常见挑战。本文探讨了在不牺牲性能的前提下实现流畅动画与交互设计的最佳实践,包括使用BackgroundWorker处理耗时任务、利用Timer控件创建简单动画,以及使用Graphics类绘制自定义图形。通过具体示例代码展示了这些技术的应用,帮助开发者显著改善用户体验,使应用程序更加吸引人和易于使用。
35 0
|
16天前
|
SQL 安全 网络安全
网络安全漏洞与加密技术解析:提升安全意识,保护信息安全
【8月更文挑战第31天】在数字化时代,网络安全与信息安全已成为全球关注的焦点。本文将深入探讨网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者了解网络安全的重要性,提高个人信息保护意识。通过分析常见的网络攻击手段、加密技术的基本原理以及如何培养良好的安全习惯,旨在为读者提供实用的知识分享,共同构建更安全的网络环境。
|
16天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:从漏洞到防护的全面解析
【8月更文挑战第31天】本文将深入探讨网络安全与信息安全的重要性,以及如何应对网络威胁。我们将从网络安全漏洞、加密技术、安全意识等方面进行知识分享,以帮助您更好地保护您的数据和隐私。通过阅读本文,您将了解到一些实用的技巧和建议,以提高您在网络世界中的安全性。
|
16天前
|
安全 网络安全 数据安全/隐私保护
网络安全的护城河:漏洞防御与加密技术的深度解析
【8月更文挑战第31天】在数字化浪潮中,网络安全成为了保护个人隐私和企业资产的关键防线。本文通过浅显易懂的语言和实际代码示例,揭示网络安全漏洞的成因、加密技术的重要性以及提升安全意识的必要性。我们将从基础的网络攻击类型讲起,逐步深入到复杂的加密算法,旨在为不同层次的读者提供一份实用的网络安全指南。
|
16天前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
【8月更文挑战第31天】在数字时代的海洋中,网络安全是航行者不可或缺的罗盘。本文将揭开网络安全漏洞的面纱,深入探索加密技术的奥秘,并通过代码示例揭示安全意识的重要性。从基础概念到实战应用,我们将一同航行在保护数据安全的航道上,确保每一位数字航海者的航程安全。
|
16天前
|
SQL 安全 网络安全
网络安全漏洞与信息保护:技术解析与安全意识提升
【8月更文挑战第31天】在数字化浪潮中,网络安全和信息安全成为维护个人隐私与企业资产的关键。本文深入探讨网络安全的薄弱环节,如软件漏洞、加密技术的运用及其局限,并强调培养安全意识的重要性。通过实际代码示例,揭示网络攻击的常见手段,并提供防御策略,旨在为读者提供全面的安全知识框架,促进更安全的网络环境构建。

热门文章

最新文章

相关产品

  • 云解析DNS
  • 推荐镜像

    更多