CVE-2020-8616: BIND未充分限制处理引荐报文(referrals)时的查询数量-阿里云开发者社区

开发者社区> DNS中文社区> 正文

CVE-2020-8616: BIND未充分限制处理引荐报文(referrals)时的查询数量

简介: 2020年5月19日,ISC发布了BIND的一个新的漏洞和补丁。老版本的BIND的递归服务器在递归查询过程有可能会发送大量的查询报文,导致递归服务器性能降低或被利用放大攻击流量。

CVE-2020-8616 原文请参考ISC官网网站: https://kb.isc.org/docs/cve-2020-8616
为了技术语言的准确性,技术部分的翻译版本附带了英文原文

影响的版本:BIND 9.0.0 -> 9.11.18, 9.12.0 -> 9.12.4-P2, 9.14.0 -> 9.14.11, 9.16.0 -> 9.16.2。9.17的 实验开发分支:9.17.0 -> 9.17.1。9.13和9.15的所有开发版本分支。所有BIND支持预览版 从9.9.3-S1 到 9.11.18-S1。

严重性: 高

可利用性: 远程可利用

漏洞描述:
In order for a server performing recursion to locate records in the DNS graph it must be capable of processing referrals, such as those received when it attempts to query an authoritative server for a record which is delegated elsewhere.
为了让服务器在DNS图(注:DNS树形结构)中执行递归查询,定位DNS记录,它必须能够处理引荐报文(referrals)。例如递归试图查询一个权威服务器和其上的DNS记录,上级权威服务器会通过引荐报文(referrals)应答方式引导递归服务器去查询位于某地方的权威服务器。

In its original design BIND (as well as other nameservers) does not sufficiently limit the number of fetches which may be performed while processing a referral response.
在BIND的最初设计中(以及其他名字服务器),没有充分限制处理引荐报文时的查询数量。

影响:

A malicious actor who intentionally exploits this lack of effective limitation on the number of fetches performed when processing referrals can, through the use of specially crafted referrals, cause a recursing server to issue a very large number of fetches in an attempt to process the referral.
恶意的参与者故意利用(BIND)处理引荐报文(referrals)时缺乏有效限制的缺陷,通过使用特别设计引荐报文,可以导致递归服务器在处理报文时发出大量的查询报文。(注:安全漏洞的原理具体请参考CZ.NIC 写的文章)

This has at least two potential effects:
这样至少有两个潜在影响:

  • 1.The performance of the recursing server can potentially be degraded by the additional work required to perform these fetches, and
    由于发送了大量的额外查询报文,递归服务器的性能可能被降低
  • 2.The attacker can exploit this behavior to use the recursing server as a reflector in a reflection attack with a high amplification factor.
    攻击者可以利用这个行为来让递归服务器成为反射器来发起反射放大攻击

注:BIND可以放大1000倍。当处理收到的引荐报文,其中包含500个压缩的NS记录,BIND递归同时查询A和AAAA地址。

CVSS 评分: 8.0

变通方法: 无

漏洞利用
我们不知道有任何活跃的漏洞被利用的案例,除了一篇在2020年5月发表的关于这个缺陷的学术论文。

解决方案

升级到与你当前使用BIND版本最接近的补丁版本:

  • BIND 9.11.19
  • BIND 9.14.12
  • BIND 9.16.3

BIND支持的预览版是BIND提供给符合条件的ISC支持客户的一个特殊功能预览分支。

  • BIND 9.11.19-S1

致谢
ISC感谢特拉维夫大学的Lior Shafir和Yehuda Afek以及跨学科中心(IDC) Herzliya的Anat Bremler-Barr发现并报道了这一问题

相关文档
发现这一漏洞的人准备了一篇学术论文来介绍他们的发现,并将其发布在http://www.nxnsattack.com 上。

请参阅ISC的BIND 9安全漏洞矩阵,以获得受影响的安全漏洞和版本的完整列表。

有更多问题请联系

  • 英文可以直接联系ISC官方邮件: security-officer@isc.org.
  • 中文可以联系Alibaba DNS公共服务邮件:pubdns@alibaba-inc.com ,我们可以帮助联系ISC
  • 如果发现BIND有新的问题,你也可以通过以下ISC网址来提交新的漏洞: https://www.isc.org/reportbug/

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

关注全球DNS技术标准、安全信息和行业趋势,连接国内外DNS技术社群,加强交流和信息共享。

官方博客
官网链接