互联网软件系统联盟( ISC )本周修复了 BIND 域名系统,解决了一个可被远程利用导致系统崩溃的严重漏洞。
DNS64 是配合 NAT64 实现 IPv4 – IPv6 互访的关键部件,主要功能是合成和维护 AAAA 记录( AAAA record ),从而转化 IPv4 地址便于 IPv6 客户端接收。 应答策略区域( RPZ )机制用于域名系统递归解析器处理特定域名信息。
该漏洞( CVE-2017-3135 )发生在服务器同时使用 DNS64 和 RPZ 功能时,由于某些配置问题将导致重写查询响应不一致,引发 INSIST assertion 失败或尝试读取 NULL 指针。在大多数平台上,读取 NULL 指针将导致分段错误( segmentation fault )、进程终止。
受影响的版本
9.8.8
9.9.3-S1 -> 9.9.9-S7
9.9.3 -> 9.9.9-P5
9.9.10b1
9.10.0 -> 9.10.4-P5
9.10.5b1
9.11.0 -> 9.11.0-P2
9.11.1b1
解决方法
从配置中删除 DNS64 或 RPZ 作为解决方法。
最安全的措施还是更新 BIND 升级到当前最新版本(下载链接)。
from hackernews.cc.thanks for it.