這三個漏洞中,最嚴重的是cve-2017-3137,該漏洞為高風險級别,cvss分為7.5。該漏洞可使攻擊者創造dos條件,主要影響遞歸解析器,但權威伺服器在進行遞歸操作時也有可能受到影響。isc在釋出的安全通告中稱,
“進行遞歸操作的伺服器若接收到包含某種排序的cname或dname資源記錄的響應,會出現聲明失敗錯誤,而導緻強制退出。”
最新的bins更新修複的另一個漏洞為cve-2017-3136。該漏洞為中風險級别,影響使用包含break-dnssec yes;選項的dns64服務的伺服器。
修複的第三個漏洞為cve-2017-3138。攻擊者可利用該漏洞通過在其控制信道上發送空指令使bind名稱伺服器流程退出。然而,僅能通過可接入控制信道的主機遠端利用該漏洞。
isc說,沒有證據表明,這三個漏洞中的任何一個已被利用。
本月初,ixia的安全軟體工程師oana murarasu報告說發現了一種ddos攻擊放大的新方法。專家發現,bind的遞歸dns解析器可使攻擊者通過dname根查詢響應進行放大攻擊。murarasu解釋說,
“放大攻擊會生成多個響應,其大小是查詢請求的10倍或更大。也就是說,受害者每發送1 mb流量就會收到10 mb。”
該問題已上報給了isc,但組織認為這些攻擊是協定設計問題導緻,而非bind自身漏洞。ixia表示,microsoft的dns伺服器不易感染這些攻擊。
當地時間12日(中原標準時間13日),isc釋出dns軟體bind 9更新,修複了3個遠端拒絕服務(dos)漏洞。
cve編号: cve-2017-3136, cve-2017-3137, cve-2017-3138。
相關位址:
<a href="https://kb.isc.org/article/aa-01471/0">https://kb.isc.org/article/aa-01471/0</a> <a href="https://kb.isc.org/article/aa-01466/0">https://kb.isc.org/article/aa-01466/0</a> <a href="https://kb.isc.org/article/aa-01465/0">https://kb.isc.org/article/aa-01465/0</a>
漏洞描述如下:
cve id
威脅程度
攻擊方式
描述
cve-2017-3136
中
遠端
使用了設定“break-dnsses”參數為“yes”的dns64在處理生成的畸形dns記錄時導緻拒絕服務。
cve-2017-3137
高
伺服器處理一個包含cname或者dname的畸形響應包時,導緻解析器終止,造成拒絕服務。
cve-2017-3138
允許發送指令的主機在控制信道上發送空指令字元串,會導緻背景解析服務程式因為require異常而退出。
受影響的版本
cve-2017-3136影響的版本:
bind 9 version 9.8.0 -> 9.8.8-p1
bind 9 version 9.9.0 -> 9.9.9-p6
bind 9 version 9.9.10b1->9.9.10rc1
bind 9 version 9.10.0 -> 9.10.4-p6
bind 9 version 9.10.5b1->9.10.5rc1
bind 9 version 9.11.0 -> 9.11.0-p3
bind 9 version 9.11.1b1->9.11.1rc1
bind 9 version 9.9.3-s1 -> 9.9.9-s8
cve-2017-3137影響的版本:
bind 9 version 9.9.9-p6
bind 9 version 9.10.4-p6
bind 9 version 9.11.0-p3
bind 9 version 9.9.9-s8
cve-2017-3138影響的版本:
bind 9 version 9.9.9->9.9.9-p7
bind 9 version 9.9.10b1->9.9.10rc2
bind 9 version 9.10.4->9.10.4-p7
bind 9 version 9.10.5b1->9.10.5rc2
bind 9 version 9.11.0->9.11.0-p4
bind 9 version 9.11.1b1->9.11.1rc2
bind 9 version 9.9.9-s1->9.9.9-s9
不受影響的版本
發行版本:
bind 9 version 9.9.9-p8
bind 9 version 9.10.4-p8
bind 9 version 9.11.0-p5
預覽版本:
bind 9 version 9.9.9-s10
候選版本:
bind 9 version 9.9.10rc3
bind 9 version 9.10.5rc3
bind 9 version 9.11.1rc3
漏洞攻擊條件苛刻,利用難度高,很難實作。
本着企業責任優先的原則,綠盟科技已經開始啟動相關的檢測和防護工作了,産品會再下次的例行更新包中對本漏洞進行檢測和防護。
isc官方已經釋出更新檔和新版本修複相關漏洞,請受影響的使用者及時下載下傳更新至不受影響的版本。
相關連結:http://www.isc.org/downloads
使用dns64的使用者可以将“break-dnsses”參數設定為no。
調整acl政策,對能夠通路控制通道的主機嚴格管控。
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商業目的。
原文釋出時間:2017年4月14日
本文由:securityweek釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/isc-released-bind-patch-cve-2017-3137-3136-3138
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)