互联网系统联盟 ISC(Internet Systems Consortium)发布了一份公告,概述了可能影响 DNS 系统安全的三个漏洞。该组织表示,这些漏洞影响了 ISC 伯克利互联网名称域(BIND)9,该系统被广泛用作 DNS 系统,并作为一个开源项目维护。
第一个漏洞是 CVE-2021-25216,并且 CVSS 严重性评分为 8.1(32 位)或 7.4(64 位)。攻击者可以通过对 BIND 的 GSS-TSIG 协议的 GSSAPI 安全策略协商机制进行缓冲区溢出攻击来远程触发该漏洞,造成崩溃或远程代码执行。然而,在使用默认 BIND 设置的配置下,易受攻击的代码路径不会暴露,除非服务器的值(tkey-gssapi-keytabtkey-gssapi-credential)被另行设置。
第二个漏洞是 CVE-2021-25215,CVSS 评分为 7.5。CVE-2021-25215 是在处理 DNAME 记录的方式中发现的一个可远程利用的漏洞,可能由于断言失败而导致进程崩溃。CVE-2021-25214 是三个漏洞中危害性最轻的,CVSS 评分为 6.5。这个问题是在增量区域传输(IXFR)中发现的,如果命名服务器收到一个畸形的 IXFR,这将导致命名进程因断言失败而崩溃。
目前,ISC 还没有发现这些漏洞被利用。但其表示,要认真对待 BIND 中的漏洞,只要有一个漏洞被成功利用,就会对服务造成广泛的破坏。因为在 BIND 9 中发现的漏洞大多数是触发 INSIST 或 ASSERT 失败的方法,这会导致 BIND 退出。当外部用户能够稳定地造成 BIND 进程退出时,这就是一种非常有效的拒绝服务(DoS)攻击。保姆式脚本可以重新启动 BIND 9,但在某些情况下,它可能需要几个小时才能重新加载,而且服务器很容易再次被关闭。
目前 BIND 9.11.31、9.16.15 和 9.17.12 都已经包含相关补丁,应该应尽快更新。
猜你喜欢: