據(jù)國家互聯(lián)網(wǎng)應急中心網(wǎng)站消息,近日,國家信息安全漏洞共享平臺(CNVD)收錄了ISC BIND 9存在斷言錯誤拒絕服務漏洞(CNVD-2016-09673,對應CVE-2016-2848)。遠程攻擊者利用漏洞可向服務器發(fā)送畸形數(shù)據(jù)包,導致服務器斷言失敗退出。CNVD對漏洞的綜合評級均為“高危”。
ISC BIND 9是美國Internet SystemsConsortium(ISC)組織所維護的一套DNS域名解析服務軟件。該軟件被披露存在拒絕服務漏洞,包含特定選項的畸型數(shù)據(jù)包能引發(fā)ISC BIND9斷言失敗。遠程攻擊者利用漏洞可向服務器發(fā)送畸形數(shù)據(jù)包,導致服務器斷言失敗造成拒絕服務攻擊威脅。
該漏洞主要溯及2013年5月前發(fā)布的ISC BIND 9版本,影響涉及ISC BIND 9.1.0 -> 9.8.4-P2, 9.9.0 -> 9.9.2-P2版本,權威服務器和遞歸服務器均會受到影響。而2013年5月發(fā)布的ISC BIND 9版本在補丁代碼中包含標識為3458號的相關變更信息,后續(xù)包含該變更信息的版本均不受漏洞影響。
目前,ISC已發(fā)布了漏洞修復方案,用戶可將程序分別升級至9.9.9-P3,9.10.4-P3,9.11.0版本。CNVD建議用戶關注廠商主頁,升級到最新版本,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。