CVE-2020-8617 原文請參考ISC官網網站: https://kb.isc.org/docs/cve-2020-8617 為了技術語言的準确性,技術部分的翻譯版本附帶了英文原文
影響的版本:BIND 9.0.0 -> 9.11.18, 9.12.0 -> 9.12.4-P2, 9.14.0 -> 9.14.11, 9.16.0 -> 9.16.2。9.17的 實驗開發分支:9.17.0 -> 9.17.1。9.13和9.15的所有開發版本分支。所有BIND支援預覽版 從9.9.3-S1 到 9.11.18-S1。
嚴重性: 高
可利用性: 遠端可利用
漏洞描述:
An error in BIND code which checks the validity of messages containing TSIG resource records can be exploited by an attacker to trigger an assertion failure in tsig.c, resulting in denial of service to clients.
攻擊者可能利用BIND代碼錯誤(注:BIND代碼錯誤是用來檢查TSIG資源記錄的消息有效性的)觸發tsig.c中的斷言失敗,進而導緻拒絕為客戶提供服務。
影響:
Using a specially-crafted message, an attacker may potentially cause a BIND server to reach an inconsistent state if the attacker knows (or successfully guesses) the name of a TSIG key used by the server.
如果攻擊者知道(或成功猜測)伺服器使用的TSIG密鑰名稱,則攻擊者有可能使用特制的消息使BIND伺服器達到不一緻的狀态。
由于BIND預設情況下會在其配置未使用的本地伺服器上配置本地會話密鑰,是以幾乎目前所有的BIND伺服器都容易受到攻擊。
In releases of BIND dating from March 2018 and after, an assertion check in tsig.c detects this inconsistent state and deliberately exits. Prior to the introduction of the check the server would continue operating in an inconsistent state, with potentially harmful results.
在2018年3月及之後釋出的BIND版本中,tsig.c中的斷言檢查可檢測到這種不一緻的狀态并強制退出。在引入檢查之前,伺服器将繼續以不一緻的狀态運作,進而可能産生危害。
CVSS 評分: 7.0
變通方法: 無
漏洞利用:
我們不知道有任何活躍的漏洞被利用的案例。
解決方案
更新到與你目前使用BIND版本最接近的更新檔版本:
- BIND 9.11.19
- BIND 9.14.12
- BIND 9.16.3
BIND支援的預覽版是BIND提供給符合條件的ISC支援客戶的一個特殊功能預覽分支。
- BIND 9.11.19-S1
緻謝:
ISC感謝Tobias Klein發現并報道了這一問題。
相關文檔:
請參閱ISC的
BIND 9安全漏洞矩陣,以獲得受影響的安全漏洞和版本的完整清單。
有更多問題請聯系:
- 英文可以直接聯系ISC官方郵件: [email protected].
- 中文可以聯系Alibaba DNS公共服務郵件:[email protected] ,我們可以幫助聯系ISC
- 如果發現BIND有新的問題,你也可以通過以下ISC網址來送出新的漏洞: https://www.isc.org/reportbug/
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)