E安全2月14日訊 互聯(lián)網(wǎng)系統(tǒng)協(xié)會（Internet Systems Consortium，ISC）近期修復(fù)了BIND域名系統(tǒng)中存在的DoS漏洞 — CVE-2017-3135。

BIND是一款開源DNS服務(wù)器軟件，由美國加州大學(xué)伯克利分校開發(fā)并維護(hù)，全名為Berkeley Internet Name Domain（BIND）, 它是目前世界上使用最為廣泛的DNS服務(wù)器軟件，支持各種unix平臺和windows平臺

Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik報(bào)告了該漏洞。

CVE-2017-3135影響了BIND 9.8.8，自9.9.3之后的所有9.9版本，所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修復(fù)了該漏洞。

該漏洞被列為“高危漏洞”（通用安全漏洞評分系統(tǒng)CVSS評分7.5），在服務(wù)器使用特定配置的情況下，可被遠(yuǎn)程利用。

ISC發(fā)布公告指出，“同時(shí)使用DNS64（配合NAT64實(shí)現(xiàn)IPv4-IPv6互訪的關(guān)鍵部件，主要功能是合成AAAA記錄和維護(hù)AAAA記錄）和RPZ的某些配置時(shí)，可能導(dǎo)致INSIST斷言失?。ˋssertion Failure）或讀取NULL 指針。當(dāng)同時(shí)使用DNS64和RPZ（Response Policy Zones：響應(yīng)策略區(qū)）重寫查詢響應(yīng)時(shí)，查詢響應(yīng)可能不一致，從而導(dǎo)致INSIST斷言失敗，或嘗試NULL指針讀取”。

只有同時(shí)使用DNS64和RPZ的服務(wù)器存在潛在威脅。

ISC補(bǔ)充道，如果這種情況發(fā)生，將會導(dǎo)致INSIST斷言失?。S后中止）或嘗試讀取NULL指針。在大多數(shù)平臺上，NULL指針讀取會導(dǎo)致分段錯(cuò)誤（SEGFAULT），從而導(dǎo)致進(jìn)程終止。

ISC在公告中建議，從配置中移除DNS64和RPZ，或限制RPZ的內(nèi)容。最安全的方式還是升級到最新版本。

2017年1月，ISC發(fā)布升級版本解決BIND中存在的四大高危漏洞（CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444）。這些漏洞如果被遠(yuǎn)程攻擊者利用，會導(dǎo)致拒絕服務(wù)（DoS）。

攻擊者可以利用這些漏洞使BIND命名服務(wù)器進(jìn)程出現(xiàn)斷言失敗，或停止執(zhí)行進(jìn)程。