ISC发布BIND安全更新修复导致DNS服务器崩溃的高危漏洞

2018-01-22 15:32 标签: 服务器漏洞,网络安全

  外媒1月17日消息,互联网系统联盟(ISC)于近期发布了针对BIND的安全更新,以解决可能导致DNS服务器崩溃的高危漏洞(CVE-2017-3145),但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。

  据ISC介绍,CVE-2017-3145漏洞是由于一个use-after-free(简称UaF,是一种内存数据破坏缺陷)的错误导致的:

BIND对上游递归获取上下文的清理操作进行了不恰当的排序,从而在某些情况下出现了use-after-free错误,以至于触发断言失败和DNS服务器进程崩溃。

  该漏洞可能影响到运行DNSSEC验证解析器的系统,因此相关专家建议临时禁用DNSSEC验证作为解决方案。但根据ISC的说法,目前没有证据可以表明CVE-2017-3145已经被野外攻击所利用。

  这一漏洞在9.0.0版本以来就已经存在于BIND中,但之前ISC发布的CVE-2017-3137修补程序版本并没有已知的代码路径可以通向它。因此,虽然BIND的所有实例都应修补,但目前只有9.9.9-P8~9.9.11,9.10.4~P8~9.10.6,9.11.0~P5至9.11.2,9.9.9-S10~9.9.11-S1,9.10.5-S1到9.10.6-S1,以及9.12.0a1~9.12.0rc1可以做到修复。

ISC发布BIND安全更新修复导致DNS服务器崩溃的高危漏洞

  除此之外,ISC还披露了一个中等严重程度的DHCP缺陷,研究人员追踪其为CVE-2017-3144漏洞:

  由于未能正确清理已关闭的OMAPI连接而出现的漏洞,可能会导致DHCP服务器可用的套接字描述符池耗尽。

  攻击者通过CVE-2017-3144漏洞,允许与OMAPI控制端口建立连接,从而耗费DHCP服务器可用的套接字描述符池。一旦耗尽,服务器将不会接受其他连接,并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务DHCP客户端请求时,运营商可能被阻止使用OMAPI来控制服务器状态,添加新租约预留等。

  虽然CVE-2017-3144影响了4.1.0至4.1-ESV-R15,4.2.0至4.2.8以及4.3.0至4.3.6的版本,但ISC表示目前已经开发了在未来的DHCP版本中推出的补丁,可以禁止未经授权的客户访问OMAPI控制端口。

  消息来源:SecurityAffairs,HackerNews.cc,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us