外媒 1 月 17 日消息,互联网系统联盟(ISC)于近期发布了针对 BIND 的安全更新,以解决可能导致 DNS 服务器崩溃的高危漏洞( CVE-2017-3145 ),但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。
据 ISC 介绍, CVE-2017-3145 漏洞是由于一个 use-after-free (简称 UaF , 是一种内存数据破坏缺陷)的错误导致的:
BIND 对上游递归获取上下文的清理操作进行了不恰当的排序,从而在某些情况下出现了 use-after-free 错误,以至于触发断言失败和 DNS 服务器进程崩溃。
该漏洞可能影响到运行 DNSSEC 验证解析器的系统,因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法,目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。
这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中,但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此,虽然 BIND 的所有实例都应修补,但目前只有9.9.9-P8 ~ 9.9.11,9.10.4 ~ P8 ~ 9.10.6,9.11.0 ~ P5至9.11.2,9.9.9-S10 ~ 9.9.11-S1,9.10.5-S1到9.10.6-S1,以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。
除此之外,ISC 还披露了一个中等严重程度的 DHCP 缺陷,研究人员追踪其为 CVE-2017-3144 漏洞 :
由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞,可能会导致 DHCP 服务器可用的套接字描述符池耗尽。
攻击者通过 CVE-2017-3144 漏洞,允许与 OMAPI 控制端口建立连接, 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽,服务器将不会接受其他连接,并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时,运营商可能被阻止使用 OMAPI 来控制服务器状态,添加新租约预留等。
虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15, 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本,但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁,可以禁止未经授权的客户访问 OMAPI 控制端口。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
source: hackernews.cc.thanks for it.