ISC 为 BIND 发布更新,修复一个可导致一些 DNS 服务器崩溃的远程可利用的安全漏洞。这个高危漏洞的编号是 CVE-2017-3145,是由一个使用后释放 bug 引发的,可导致出现断言失败错误以及BIND 域名服务器 (named) 进程崩溃。
虽然尚未有证据表明该漏洞已被用于恶意攻击中,但 ISC 表示“多方”已报告了由这个 bug 引发的问题。受影响的系统作为 DNSSEC 验证解析器使用,因此临时禁用 DNSSEC 验证可作为权变措施。
这个漏洞是由 Cygate AB 公司的 Jayachandran Palanisamy 发现的,影响 BIND 版本 9.9.9-P8 至 9.9.11, 9、10.4-P8 至 9.10.6、 9.11.0-P5 至 9.11.2、9.9.9-S10 至 9.9.11-S1、9.10.5-S1 至 9.10.6-S1 和 9.12.0a1 至 9.12.0rc1。 新发布的BIND 9.9.11-P1、9.10.6-P1、9.11.2-P1 和 9.12.0rc2已修复该问题。
ISC声明
ISC 解释称,在解析过程中地址被释放后会遭引用,导致出现断言失败这种情况发生的几率很小,但解析延迟导致几率增加(延迟会在未来的维护发布中解决。)
ISC 还披露了一个中危 DHCP 漏洞 CVE-2017-3144,影响的版本是 4.1.0 至 4.1-ESV-R15、4.2.0 至4.2.8 以及4.3.0 至 4.3.6。ISC表示,通过利用这个漏洞,有权限和 OMAPI 控制端口建立联系的攻击者能够耗尽DHCP 服务器可用的套接字描述符池。耗尽后,服务器不会接受额外的连接,可能否认来自服务器运营商的合法连接访问。虽然服务器将持续接收并为 DHCP 客户端请求服务,但运营商使用 OMAPI 控制服务器状态的能力可遭拦截、增加新的租赁预定等。
ISC 已开发一款补丁并计划增加到 DHCP 的未来维护发布中。同时,用户可通过拒绝访问来自未经授权客户端的 OMAPI 控制端口的方式保护自己。或者组织机构可从 ISC 获得补丁并整合到自己的代码中。