【漏洞公告】CVE-2017-3143：BIND安全绕过漏洞

2017年6月29日，ISC BIND被曝出由于设计问题而导致的安全绕过漏洞，攻击者能够向一个权威DNS服务器发送和接收消息，对目标服务执行未经授权的动态更新，进而发动投毒等攻击行为，为正常业务带来严重的安全风险。

漏洞详情见下文。

漏洞编号：

CVE-2017-3143

漏洞名称：

BIND安全绕过漏洞

官方评级：

高危

漏洞描述：

攻击者能够对一个权威DNS服务器发送和接收消息，对目标服务执行未经授权的动态更新，向目标服务器投毒，带来严重的安全风险。

漏洞利用条件和方式:

远程利用

漏洞影响范围：

• 9.9版本：

  • 9.9.0->9.9.10-P1
  • 9.9.3-S1->9.9.10-S2

• 9.10版本：

  • 9.10.0->9.10.5-P1
  • 9.10.5-S1->9.10.5-S2

• 9.11版本：9.11.0->9.11.1-P1

• 其它版本：9.4.0->9.8.8

漏洞检测：

使用named -V命令查看bind的版本，确认是否使用了受影响版本。

漏洞修复建议(或缓解措施):

• 目前官方已经发布最新版 ，建议您更新升级。

• 启用Bind访问控制策略（ACL）允许可信服务器或用户查询。

情报来源:

• http://www.securityfocus.com/bid/99337/info
• https://www.isc.org/downloads/software-support-policy/security-advisory/
• https://kb.isc.org/article/AA-00913/216/BIND-9-Security-Vulnerability-Matrix.html

• Debian

  https://security-tracker.debian.org/tracker/CVE-2017-3142

  https://security-tracker.debian.org/tracker/CVE-2017-3143

• Red Hat Enterprise Linux/CentOS

  https://access.redhat.com/security/cve/CVE-2017-3142

  https://access.redhat.com/security/cve/CVE-2017-3143

• OpenSUSE

  https://www.suse.com/security/cve/CVE-2017-3142

  https://www.suse.com/security/cve/CVE-2017-3143