BIND域名系统再现高危DoS漏洞

互联网系统协会（Internet Systems Consortium，ISC）近期修复了BIND域名系统中存在的DoS漏洞 — CVE-2017-3135。Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik报告了该漏洞。

CVE-2017-3135影响了BIND 9.8.8，自9.9.3之后的所有9.9版本，所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修复了该漏洞。该漏洞被列为“高危漏洞”（通用安全漏洞评分系统CVSS评分7.5），在服务器使用特定配置的情况下，可被远程利用。

ISC发布公告指出，“同时使用DNS64（配合NAT64实现IPv4-IPv6互访的关键部件，主要功能是合成AAAA记录和维护AAAA记录）和RPZ的某些配置时，可能导致INSIST断言失败（Assertion Failure）或读取NULL 指针。当同时使用DNS64和RPZ（Response Policy Zones：响应策略区）重写查询响应时，查询响应可能不一致，从而导致INSIST断言失败，或尝试NULL指针读取”。

只有同时使用DNS64和RPZ的服务器存在潜在威胁。

ISC补充道，如果这种情况发生，将会导致INSIST断言失败（随后中止）或尝试读取NULL指针。在大多数平台上，NULL指针读取会导致分段错误（SEGFAULT），从而导致进程终止。

ISC在公告中建议，从配置中移除DNS64和RPZ，或限制RPZ的内容。最安全的方式还是升级到最新版本。

2017年1月，ISC发布升级版本解决BIND中存在的四大高危漏洞（CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444）。这些漏洞如果被远程攻击者利用，会导致拒绝服务（DoS）。

攻击者可以利用这些漏洞使BIND命名服务器进程出现断言失败，或停止执行进程。

关于BIND

BIND是一款开源DNS服务器软件，由美国加州大学伯克利分校开发并维护，全名为Berkeley Internet Name Domain（BIND）, 它是目前世界上使用最为广泛的DNS服务器软件，支持各种unix平台和windows平台.