高危漏洞通告 BIND最新漏洞将導緻DoS攻擊 綠盟科技釋出預警通告

上個月，流行dns軟體bind中的一個嚴重dos漏洞（cve-2016-2776）得到了修補，但是該漏洞已經被廣泛利用，用以摧毀系統。綠盟科技釋出高危漏洞預警通告，這意味着該漏洞影響範圍比較廣，危害嚴重，利用難度較低，7*24小時内部應急跟蹤，24小時内完成技術分析、産品更新和防護方案。

該漏洞由網際網路系統聯盟（isc）發現并以cve-2016-2776的id進行追蹤。9月下旬，bind 9.9.9-p3、9.10.4-p3、9.11.0rc3的釋出修補了這一漏洞。攻擊者可通過特制的dns封包，利用該漏洞進行dos攻擊。

本小結内容由綠盟科技提供

影響的版本

bind 9 version 9.0.x -> 9.8.x

bind 9 version 9.9.0->9.9.9-p2

bind 9 version 9.9.3-s1->9.9.9-s3

bind 9 version 9.10.0->9.10.4-p2

bind 9 version 9.11.0a1->9.11.0rc1

不受影響的版本

bind 9 version 9.9.9-p3

bind 9 version 9.10.4-p3

bind 9 version 9.11.0rc3

1984年，加州大學伯克利分校的幾個學生彎沉管理unix名稱服務dns，稱為berkeley internet name domain（bind）。目前，它是物聯網上使用最為廣泛的dns服務軟體。 

bind的發行版一般包含三個部分：域名伺服器、域名解析器庫、軟體測試工具

10月4日，在有人提供概念驗證（poc）代碼和metasploit子產品之後不久，isc宣布其已知道有導緻伺服器崩潰的攻擊明顯利用了這個漏洞。日本國家警察局也發出警告，提醒使用者小心“無差别攻擊”。

該漏洞與dns伺服器如何構造針對特定查詢的響應有關。如果針對一個查詢的響應大于預設的512位元組，就會導緻bind名稱伺服器（named）程序崩潰。

綠盟科技将此次bind漏洞（cve-2016-2776），定為進階，這意味着該漏洞影響範圍比較廣，危害嚴重，利用難度較低，7*24小時内部應急跟蹤，24小時内完成技術分析、産品更新和防護方案。

綠盟科技釋出的預警通告中稱

isc網際網路系統協會（internet systems consortium）官網釋出了一個安全通告，公布了編号為cve-2016-2776的漏洞及其修複情況。該漏洞位于檔案buffer.c中，當程式在為精心構造的查詢請求建構響應時會遇到斷言失敗，導緻程式崩潰，進而造成拒絕服務。詳情請見如下連結： https://kb.isc.org/article/aa-01419

在周三釋出的一篇博文中，安全公司trend micros描述了這一漏洞的成因：

“當針對一個dns查詢構造響應時，dns伺服器保留了響應緩沖區中的空間（預設為512）。然後，它按照answer rr所需大小增加msg->reserved的大小。answer rr所需大小也會與msg->reserved的大小一起增加，如果響應緩沖擁有其他資源記錄（resource records）的話，兩者将相同。

在修補漏洞之前，伺服器并未考慮12位元組的dns頭部。通過dns_message_rendersection()函數從query渲染resource records之後，dns頭部位元組也會增加響應流量的大小。是以，如果dns響應（r.length）的流量小于512位元組（msg->reserved），該函數會傳回true。但是，加上12位元組頭部之後，如果響應流量超過固定保留的512位元組，服務就會終止。”

釋出概念驗證利用程式和metasploit模型的infobyte的研究人員相信，對msg->reserved變量的使用會導入類似cve-2016-2776的漏洞。

這并不是第一次有攻擊者利用bind中的dos漏洞攻擊dns伺服器。去年，研究人員就警告過，攻擊者廣泛利用了重要漏洞（cve-2015-5477），可能導緻嚴重的服務中斷。

官方已經釋出了版本更新，建議使用者更新到最新版本，下載下傳連結如下：

<a href="http://www.isc.org/downloads">http://www.isc.org/downloads</a>

原文釋出時間：2017年3月24日

本文由：安全加 釋出，版權歸屬于原作者

原文連結：http://toutiao.secjia.com/bind-vulnerability-exploited-cve-2016-2776

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站