伯克利网络域名(BIND)9 是一个被广泛应用的开源 DNS 系统项目,但最近,其曝出了一个严重性颇高的 CVE-2021-25216 安全漏洞。互联网系统协会(ISC)指出,攻击者能够利用 BIND 的 GSS-TSIF 协议和 GSSAPI 安全策略协商机制中的缓冲区溢出漏洞来触发远程执行,进而导致更广泛的漏洞利用,包括但不限于系统崩溃和远程代码执行。
(来自:US Cert)
在 ISC 发布的一份咨询报告中,该协会概述了可能影响 DNS 系统安全性的三个漏洞。其中基于通用弱点评价体系(CVSS),BIND 9 32 / 64-bit 版本的漏洞严重性评级,分别为 8.1 / 7.4 。
需要指出的是,在使用默认 BIND 配置的情况下,系统并不会暴露易受攻击的代码路径,除非管理者另行设置了服务器的 tkey-gssapi-keytab / tkey-gssapi-credential 值。
通报中写道:尽管默认配置不易受到攻击,但 GSS-TSIG 经常被用于将 BIND 和 Samba 集成到一起的网络中,以及将 BIND 服务器和活动目录(Active Directory)域控制器结合在一起的混合服务器环境中。
对于满足了这些条件的服务器,ISC SPNEGO 实施极易受到各种类型的攻击,但具体取决于构建 BIND 的特定 CPU 体系结构。
ISC 提醒的第二个漏洞,是 CVSS 评级达到了 7.5 分的 CVE-2021-25215 。主要问题在于 DNAME 记录的处理方式中发现的可被远程利用的缺陷,且可能由于断言(Assertions)失败而导致进程崩溃。
危害最小的那个 Bug,是 CVSS 评级 6.5 分的 CVE-2021-25214 。研究人员在增量区域传输(IXFR)中发现了这个问题,如果名称服务器收到了错误格式的 IXFR,可能导致解析过程因断言失败而崩溃。
目前 ISC 尚未收到有关漏洞在野外被利用的报告,但还是希望大家能够对此提高警惕。因为仅需曝出一次成功的利用,就可能对 DNS 服务造成广泛的破坏。
比如在遭受了 DoS 拒绝服务攻击后,可能需要耗费数小时来补救,且后续很容易再次遭到破坏。基于此,ISC 希望尽快部署更新,目前 BIND 9.11.31、9.16.15 和 9.17.12 版本中均已集成了修复程序。
最后,本周早些时候,微软披露了互联网(IoT)和工业技术代码中存在的内存错误分配 bug 。这类操作被其统称为 BadAlloc,目前该公司正在与国土安全部(DHS)合作,以向受影响的供应商发出警报。