BIND DNS 软件受高危漏洞影响 易遭 DoS 攻击

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

周三，互联网系统协会(ISC)表示，BIND DNS软件易受严重漏洞影响，易遭DoS攻击。

剑桥大学的研究员 Tony Finch 发现了该缺陷（CVE-2018-5740），它可遭远程利用，CVSS 评分为 7.5分，为“高危”漏洞。

然而，这个漏洞仅影响启用 “deny-answer-aliases” 功能的服务器，该功能默认禁用。 “deny-answer-aliases” 功能旨在帮助递归服务器运营商保护用户免受 DNS 重新绑定攻击。DNS 重新绑定攻击可导致远程攻击者滥用目标用户的 web 浏览器和本地网络上的设备直接通信，并且利用设备上可能存在的任何缺陷。

ISC 发布安全公告指出，“缺陷遭意外或故意触发将导致命名中的 INSIST 断言失败，从而导致命名进程停止执行并导致拒绝为客户端服务。”

该安全漏洞影响 BIND 版本 9.7.0 至 9.8.8、9.9.0 至9.9.13、9.10.0 至9.10.8、9.11.0至9.11.4、9.12.0至9.12.2 以及9.13.0至9.13.2 版本。版本 9.9.13-P1、9.10.8-P1、9.11.4-P1 和 9.12.2-P1 中已包含补丁。ISC 建议禁用这个有缺陷的功能作为应变措施。

ISC 表示，“多数运营商无需做出任何改变，除非使用了 ‘deny-answer-aliases’ 功能。该功能默认关闭，只有明确启用该功能的配置才受影响。”

ISC 表示，并未发现漏洞遭恶意利用的任何实例。7月31日，可能遭影响的用户已得到提前通知。

https://www.securityweek.com/flaw-bind-security-feature-allows-dos-attacks