2017年6月29日,ISC BIND被曝出由于设计问题而导致的安全绕过漏洞,攻击者能够向一个权威DNS服务器发送和接收消息,对目标服务执行未经授权的动态更新,进而发动投毒等攻击行为,为正常业务带来严重的安全风险。
漏洞详情见下文。
漏洞编号:
CVE-2017-3143
漏洞名称:
BIND安全绕过漏洞
官方评级:
高危
漏洞描述:
攻击者能够对一个权威DNS服务器发送和接收消息,对目标服务执行未经授权的动态更新,向目标服务器投毒,带来严重的安全风险。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
9.9版本:
- 9.9.0->9.9.10-P1
- 9.9.3-S1->9.9.10-S2
9.10版本:
- 9.10.0->9.10.5-P1
- 9.10.5-S1->9.10.5-S2
9.11版本:9.11.0->9.11.1-P1
其它版本:9.4.0->9.8.8
漏洞检测:
使用named -V
命令查看bind的版本,确认是否使用了受影响版本。
漏洞修复建议(或缓解措施):
目前官方已经发布最新版 ,建议您更新升级。
启用Bind访问控制策略(ACL)允许可信服务器或用户查询。
情报来源:
- http://www.securityfocus.com/bid/99337/info
- https://www.isc.org/downloads/software-support-policy/security-advisory/
- https://kb.isc.org/article/AA-00913/216/BIND-9-Security-Vulnerability-Matrix.html
Debian
Red Hat Enterprise Linux/CentOS
OpenSUSE