安全公告编号:CNTA-2020-0009

2020年5月22日,国家信息安全漏洞共享平台(CNVD)收录了DNS BIND拒绝服务漏洞(CNVD-2020-29429,对应CVE-2020-8617)。攻击者利用该漏洞,可使BIND域名解析服务崩溃。目前,该漏洞的利用代码已公开,厂商已发布新版本完成修复。

一、漏洞情况分析

BIND(BerkeleyInternet Name Domain)是由美国互联网系统协会(ISC,Internet Systems Consortium)负责开发和维护的域名解析服务(DNS)软件,是现今互联网上使用较为广泛的DNS解析服务软件。

2020年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京知道创宇信息技术股份有限公司报送的ISC BIND拒绝服务漏洞。由于BIND代码会对TSIG资源记录消息进行正确性检查,因此攻击者可通过发送精心构造的恶意数据,使其进程在tsig.c位置触发断言失败,导致BIND域名解析服务崩溃。攻击者利用漏洞可发起拒绝服务攻击。该漏洞对互联网上广泛应用的BIND软件构建的域名服务器构成安全运行风险。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞影响的产品版本如下:

BIND 9.12.0 ~ 9.12.4P2

BIND 9.14.0 ~ 9.14.11

BIND 9.16.0 ~ 9.16.2

BIND 9.17.0 ~ 9.17.1 实验版本分支

BIND 9.13 ~ 9.15 所有废弃的开发分支

BIND 9.9.3-S1 至 9.11.18-S1 的发行预览版

CNVD对DNS BIND在我国境内的分布情况进行统计,结果显示我国境内共有5571060台服务器(根据IP和端口去重)运行该DNS域名解析服务。

三、漏洞处置建议

目前,BIND官方已发布9.11.19,9.14.12及9.16.3版本完成漏洞修复,CNVD建议用户关注厂商主页,尽快升级至新版本,避免引发漏洞相关的网络安全事件。

附参考链接:

https://www.isc.org/downloads/bind/(补丁地址)

https://downloads.isc.org/isc/bind9/9.11.19/BIND9.11.19.x64.zip

https://downloads.isc.org/isc/bind9/9.14.12/BIND9.14.12.x64.zip

https://downloads.isc.org/isc/bind9/9.16.3/BIND9.16.3.x64.zip

感谢CNVD技术组支撑单位——北京知道创宇信息技术股份有限公司为本报告提供的数据支持。

声明:本文来自CNVD漏洞平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。