ISC敦促更新DNS服务器以封堵新的BIND域名系统漏洞

伯克利网络域名(BIND)9 是一个被广泛应用的开源 DNS 系统项目,但最近,其曝出了一个严重性颇高的 CVE-2021-25216 安全漏洞。互联网系统协会(ISC)指出,攻击者能够利用 BIND 的 GSS-TSIF 协议和 GSSAPI 安全策略协商机制中的缓冲区溢出漏洞来触发远程执行,进而导致更广泛的漏洞利用,包括但不限于系统崩溃和远程代码执行。

ISC敦促更新DNS服务器以封堵新的BIND域名系统漏洞插图

(来自:US Cert

在 ISC 发布的一份咨询报告中,该协会概述了可能影响 DNS 系统安全性的三个漏洞。其中基于通用弱点评价体系(CVSS),BIND 9 32 / 64-bit 版本的漏洞严重性评级,分别为 8.1 / 7.4 。

需要指出的是,在使用默认 BIND 配置的情况下,系统并不会暴露易受攻击的代码路径,除非管理者另行设置了服务器的 tkey-gssapi-keytab / tkey-gssapi-credential 值。

通报中写道:尽管默认配置不易受到攻击,但 GSS-TSIG 经常被用于将 BIND 和 Samba 集成到一起的网络中,以及将 BIND 服务器和活动目录(Active Directory)域控制器结合在一起的混合服务器环境中。

对于满足了这些条件的服务器,ISC SPNEGO 实施极易受到各种类型的攻击,但具体取决于构建 BIND 的特定 CPU 体系结构。

ISC 提醒的第二个漏洞,是 CVSS 评级达到了 7.5 分的 CVE-2021-25215 。主要问题在于 DNAME 记录的处理方式中发现的可被远程利用的缺陷,且可能由于断言(Assertions)失败而导致进程崩溃。

危害最小的那个 Bug,是 CVSS 评级 6.5 分的 CVE-2021-25214 。研究人员在增量区域传输(IXFR)中发现了这个问题,如果名称服务器收到了错误格式的 IXFR,可能导致解析过程因断言失败而崩溃。

目前 ISC 尚未收到有关漏洞在野外被利用的报告,但还是希望大家能够对此提高警惕。因为仅需曝出一次成功的利用,就可能对 DNS 服务造成广泛的破坏。

比如在遭受了 DoS 拒绝服务攻击后,可能需要耗费数小时来补救,且后续很容易再次遭到破坏。基于此,ISC 希望尽快部署更新,目前 BIND 9.11.31、9.16.15 和 9.17.12 版本中均已集成了修复程序。

最后,本周早些时候,微软披露了互联网(IoT)和工业技术代码中存在的内存错误分配 bug 。这类操作被其统称为 BadAlloc,目前该公司正在与国土安全部(DHS)合作,以向受影响的供应商发出警报。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
主机帮
我们将24小时内回复。
2024-11-22 05:09:54
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: