微慑信息网

ISC 发布 BIND 安全更新,修复导致 DNS 服务器崩溃的高危漏洞

外媒 1 月 17 日消息,互联网系统联盟(ISC)于近期发布了针对 BIND 的安全更新,以解决可能导致 DNS 服务器崩溃的高危漏洞( CVE-2017-3145 ),但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。

据 ISC 介绍, CVE-2017-3145 漏洞是由于一个 use-after-free (简称 UaF , 是一种内存数据破坏缺陷)的错误导致的:

BIND 对上游递归获取上下文的清理操作进行了不恰当的排序,从而在某些情况下出现了 use-after-free  错误,以至于触发断言失败和 DNS 服务器进程崩溃。

该漏洞可能影响到运行 DNSSEC 验证解析器的系统,因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法,目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。

这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中,但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此,虽然 BIND 的所有实例都应修补,但目前只有9.9.9-P8 ~ 9.9.11,9.10.4 ~ P8 ~ 9.10.6,9.11.0 ~ P5至9.11.2,9.9.9-S10 ~ 9.9.11-S1,9.10.5-S1到9.10.6-S1,以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。

bind-dns-server-attacks

除此之外,ISC 还披露了一个中等严重程度的 DHCP 缺陷,研究人员追踪其为 CVE-2017-3144 漏洞  :

由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞,可能会导致 DHCP 服务器可用的套接字描述符池耗尽。

攻击者通过 CVE-2017-3144 漏洞,允许与 OMAPI 控制端口建立连接, 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽,服务器将不会接受其他连接,并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时,运营商可能被阻止使用 OMAPI 来控制服务器状态,添加新租约预留等。

虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15, 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本,但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁,可以禁止未经授权的客户访问 OMAPI 控制端口。

消息来源:Security Affairs,编译:榆榆,校审:FOX;

本文由 HackerNews.cc 编译整理,封面来源于网络;

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。



source: hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » ISC 发布 BIND 安全更新,修复导致 DNS 服务器崩溃的高危漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册