在2016年,BIND曾经出现过两次漏洞。 绿盟科技发布ISC BIND 9 DoS漏洞技术分析与防护方案 , BIND9 DoS漏洞CVE-2016-8864 绿盟科技发布技术分析与防护方案 北京有1435台设备受影响 。本周,互联网系统协会(ISC)又发布了DNS软件BIND更新,修复了可远程利用的数个拒绝服务漏洞。BIND 9.9.9-P8、9.10.4-P8和9.11.0-P5中修复了可导致声明失败的三个安全漏洞。绿盟科技发布安全威胁通告,全文见后。
三个漏洞中CVE-2017-3137为高风险漏洞
这三个漏洞中,最严重的是CVE-2017-3137,该漏洞为高风险级别,CVSS分为7.5。该漏洞可使攻击者创造DoS条件,主要影响递归解析器,但权威服务器在进行递归操作时也有可能受到影响。ISC在发布的安全通告中称,
“进行递归操作的服务器若接收到包含某种排序的CNAME或DNAME资源记录的响应,会出现声明失败错误,而导致强制退出。”
最新的BINS更新修复的另一个漏洞为CVE-2017-3136。该漏洞为中风险级别,影响使用包含break-dnssec yes;选项的DNS64服务的服务器。
修复的第三个漏洞为CVE-2017-3138。攻击者可利用该漏洞通过在其控制信道上发送空命令使BIND名称服务器流程退出。然而,仅能通过可接入控制信道的主机远程利用该漏洞。
ISC说,没有证据表明,这三个漏洞中的任何一个已被利用。
BIND面临新反射攻击风险
本月初,Ixia的安全软件工程师Oana Murarasu报告说发现了一种DDoS攻击放大的新方法。专家发现,BIND的递归DNS解析器可使攻击者通过DNAME根查询响应进行放大攻击。Murarasu解释说,
“放大攻击会生成多个响应,其大小是查询请求的10倍或更大。也就是说,受害者每发送1 Mb流量就会收到10 Mb。”
该问题已上报给了ISC,但组织认为这些攻击是协议设计问题导致,而非BIND自身漏洞。Ixia表示,Microsoft的DNS服务器不易感染这些攻击。
绿盟科技发布《ISC BIND 9多个远程拒绝服务漏洞安全威胁通告》
当地时间12日(北京时间13日),ISC发布DNS软件BIND 9更新,修复了3个远程拒绝服务(DOS)漏洞。
CVE编号: CVE-2017-3136, CVE-2017-3137, CVE-2017-3138。
相关地址:
https://kb.isc.org/article/AA-01471/0
漏洞描述如下:
| CVE ID |
威胁程度 |
攻击方式 |
描述 |
| CVE-2017-3136 |
中 |
远程 |
使用了设置“break-dnsses”参数为“yes”的DNS64在处理生成的畸形DNS记录时导致拒绝服务。 |
| CVE-2017-3137 |
高 |
远程 |
服务器处理一个包含CNAME或者DNAME的畸形响应包时,导致解析器终止,造成拒绝服务。 |
| CVE-2017-3138 |
中 |
远程 |
允许发送命令的主机在控制信道上发送空命令字符串,会导致后台解析服务程序因为REQUIRE异常而退出。 |
影响范围
受影响的版本
- CVE-2017-3136影响的版本:
BIND 9 Version 9.8.0 -> 9.8.8-P1
BIND 9 Version 9.9.0 -> 9.9.9-P6
BIND 9 Version 9.9.10b1->9.9.10rc1
BIND 9 Version 9.10.0 -> 9.10.4-P6
BIND 9 Version 9.10.5b1->9.10.5rc1
BIND 9 Version 9.11.0 -> 9.11.0-P3
BIND 9 Version 9.11.1b1->9.11.1rc1
BIND 9 Version 9.9.3-S1 -> 9.9.9-S8
- CVE-2017-3137影响的版本:
BIND 9 Version 9.9.9-P6
BIND 9 Version 9.9.10b1->9.9.10rc1
BIND 9 Version 9.10.4-P6
BIND 9 Version 9.10.5b1->9.10.5rc1
BIND 9 Version 9.11.0-P3
BIND 9 Version 9.11.1b1->9.11.1rc1
BIND 9 Version 9.9.9-S8
- CVE-2017-3138影响的版本:
BIND 9 Version 9.9.9->9.9.9-P7
BIND 9 Version 9.9.10b1->9.9.10rc2
BIND 9 Version 9.10.4->9.10.4-P7
BIND 9 Version 9.10.5b1->9.10.5rc2
BIND 9 Version 9.11.0->9.11.0-P4
BIND 9 Version 9.11.1b1->9.11.1rc2
BIND 9 Version 9.9.9-S1->9.9.9-S9
不受影响的版本
- 发行版本:
BIND 9 Version 9.9.9-P8
BIND 9 Version 9.10.4-P8
BIND 9 Version 9.11.0-P5
- 预览版本:
BIND 9 Version 9.9.9-S10
- 候选版本:
BIND 9 Version 9.9.10rc3
BIND 9 Version 9.10.5rc3
BIND 9 Version 9.11.1rc3
漏洞评估
漏洞攻击条件苛刻,利用难度高,很难实现。
本着企业责任优先的原则,绿盟科技已经开始启动相关的检测和防护工作了,产品会再下次的例行升级包中对本漏洞进行检测和防护。
规避方案
- ISC官方已经发布补丁和新版本修复相关漏洞,请受影响的用户及时下载更新至不受影响的版本。
相关链接:http://www.isc.org/downloads
- 使用DNS64的用户可以将“break-dnsses”参数设置为no。
- 调整ACL策略,对能够访问控制通道的主机严格管控。
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文发布时间:2017年4月14日
本文由:securityWeek发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/isc-released-bind-patch-cve-2017-3137-3136-3138
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
