CVE-2020-8616 原文請參考ISC官網網站: https://kb.isc.org/docs/cve-2020-8616 為了技術語言的準确性,技術部分的翻譯版本附帶了英文原文
影響的版本:BIND 9.0.0 -> 9.11.18, 9.12.0 -> 9.12.4-P2, 9.14.0 -> 9.14.11, 9.16.0 -> 9.16.2。9.17的 實驗開發分支:9.17.0 -> 9.17.1。9.13和9.15的所有開發版本分支。所有BIND支援預覽版 從9.9.3-S1 到 9.11.18-S1。
嚴重性: 高
可利用性: 遠端可利用
漏洞描述:
In order for a server performing recursion to locate records in the DNS graph it must be capable of processing referrals, such as those received when it attempts to query an authoritative server for a record which is delegated elsewhere.
為了讓伺服器在DNS圖(注:DNS樹形結構)中執行遞歸查詢,定位DNS記錄,它必須能夠處理引薦封包(referrals)。例如遞歸試圖查詢一個權威伺服器和其上的DNS記錄,上級權威伺服器會通過引薦封包(referrals)應答方式引導遞歸伺服器去查詢位于某地方的權威伺服器。
In its original design BIND (as well as other nameservers) does not sufficiently limit the number of fetches which may be performed while processing a referral response.
在BIND的最初設計中(以及其他名字伺服器),沒有充分限制處理引薦封包時的查詢數量。
影響:
A malicious actor who intentionally exploits this lack of effective limitation on the number of fetches performed when processing referrals can, through the use of specially crafted referrals, cause a recursing server to issue a very large number of fetches in an attempt to process the referral.
惡意的參與者故意利用(BIND)處理引薦封包(referrals)時缺乏有效限制的缺陷,通過使用特别設計引薦封包,可以導緻遞歸伺服器在處理封包時發出大量的查詢封包。(注:
安全漏洞的原理具體請參考CZ.NIC 寫的文章)
This has at least two potential effects:
這樣至少有兩個潛在影響:
-
1.The performance of the recursing server can potentially be degraded by the additional work required to perform these fetches, and
由于發送了大量的額外查詢封包,遞歸伺服器的性能可能被降低
-
2.The attacker can exploit this behavior to use the recursing server as a reflector in a reflection attack with a high amplification factor.
攻擊者可以利用這個行為來讓遞歸伺服器成為反射器來發起反射放大攻擊
注:BIND可以放大1000倍。當處理收到的引薦封包,其中包含500個壓縮的NS記錄,BIND遞歸同時查詢A和AAAA位址。
CVSS 評分: 8.0
變通方法: 無
漏洞利用:
我們不知道有任何活躍的漏洞被利用的案例,除了一篇在2020年5月發表的關于這個缺陷的學術論文。
解決方案
更新到與你目前使用BIND版本最接近的更新檔版本:
- BIND 9.11.19
- BIND 9.14.12
- BIND 9.16.3
BIND支援的預覽版是BIND提供給符合條件的ISC支援客戶的一個特殊功能預覽分支。
- BIND 9.11.19-S1
緻謝:
ISC感謝特拉維夫大學的Lior Shafir和Yehuda Afek以及跨學科中心(IDC) Herzliya的Anat Bremler-Barr發現并報道了這一問題
相關文檔:
發現這一漏洞的人準備了一篇學術論文來介紹他們的發現,并将其釋出在
http://www.nxnsattack.com上。
請參閱ISC的
BIND 9安全漏洞矩陣,以獲得受影響的安全漏洞和版本的完整清單。
有更多問題請聯系:
- 英文可以直接聯系ISC官方郵件: [email protected].
- 中文可以聯系Alibaba DNS公共服務郵件:[email protected] ,我們可以幫助聯系ISC
- 如果發現BIND有新的問題,你也可以通過以下ISC網址來送出新的漏洞: https://www.isc.org/reportbug/
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)