首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2009-07)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

BIND 9遠程拒絕服務漏洞可能被利用進行影響互聯網基礎設施的攻擊

發布日期:2009-07-30

CVE ID:CVE-2009-0696

受影響的軟件及系統:
====================
ISC BIND 9.x(0<=x<=6)

未受影響的軟件及系統:
======================
ISC BIND 8.x
ISC BIND 9.6.1-P1
ISC BIND 9.5.1-P3
ISC BIND 9.4.3-P3

綜述:
======
ISC BIND是一個應用非常廣泛的DNS協議的實現,由ISC負責維護。目前主要的DNS服務器都運行了BIND的DNS實現,直接或間接地為大量用戶提供名字解析服務。近日BIND版本9被發現存在一個遠程拒絕服務漏洞,攻擊者只需單個UDP報文即可導致BIND進程崩潰退出從而失去服務能力,漏洞的技術細節和相關驗證代碼已經公開。

分析:
======
BIND 9服務器在處理畸形格式的動態更新請求時存在漏洞,如果遠程攻擊者向BIND服務器所發送的動態更新消息中包含有ANY類型記錄且服務器上存在這個 FQDN的一個或一個以上RRset的話,就可能在dns_db_findrdataset()中觸發進程退出,從而造成拒絕服務。此漏洞影響BIND版本9,不影響BIND版本8。

由于互聯網運行了大量存在漏洞的BIND版本9軟件,而且UDP報文因其本身的特點可以偽造源IP,因此如果攻擊者利用此漏洞發動大規模的網絡攻擊,無需非常多的資源即可造成大量DNS服務崩潰,最終影響用戶對互聯網服務的正常訪問。

目前廠商已經在最新版本的軟件中修補了此漏洞,由于DNS服務器是影響網絡正常可操作的基礎設施,我們強烈建議DNS服務器的管理單位立即升級BIND軟件以消除漏洞可能帶來的威脅。

綠盟科技“冰之眼網絡入侵保護系統”和“黑洞抗拒絕服務系統”可以檢測和防護針對該漏洞的攻擊。

解決方法:
==========
* 升級BIND軟件到最新版本。

* 使用防火墻或其他網絡訪問控制工具阻斷畸形請求報文:

  如果服務器使用iptables,可以應用如下命令,但可能影響正常的功能:

  iptables -A INPUT -p udp --dport 53 -j DROP -m u32 --u32 '30>>27&0xF=5'

廠商狀態:
==========
廠商已經發布了新版本軟件修補此漏洞:
http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

附加信息:
==========
1. http://www.uaeogq.live/vulndb/13651
2. https://www.isc.org/node/474
3. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=538975

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 贴吧可以赚钱的游戏 股票买指数怎么赚钱 湖南幸运赛车开奖详情 手机里有没有能赚钱的游戏 后二计划软件下载 彩票赚钱团队 澳门二十一点必胜技巧 广西快三遗漏期 街机老虎机游戏大全 欢乐生肖彩票 后三组六稳赚技巧 甘肃快三开奖结果啊