深圳风采2018077期开奖结果 深圳福彩深圳风采开奖结果 深圳风采2018063 深圳福彩官网深圳风采 中国福彩深圳风采开奖结果查询 深圳风采一等奖 深圳风采福利彩票开奖结果查询双色球 深圳风采2012027 中国福彩深圳风采单式 深圳风采92期 深圳风采2018085期开奖公告 深圳风采077期 关于深圳风采的开奖问题 深圳风采2017014查询 深圳风采中奖了

国家互联网应急中心

 

    关于ISC BIND 存在多个拒绝服务高危漏洞的有关情况通报

     时间:2016-03-18

            近日,国家信息安全漏洞共享平台(CNVD)收录了ISC BIND存在三个拒绝服务高危漏洞(CNVD-2016-01548、CNVD-2016-01549、CNVD-2016-01550,对应CVE-2016-1286、CVE-2016-1285、CVE-2016-2088)。BIND是美国Internet Systems Consortium(ISC)组织所维护的一套DNS域名解析服务软件,远程攻击者可利用上述漏洞,可发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。CNCERT第一时间对上述三个高危漏洞?#21335;?#20851;情况进行了解和分析,具体通报如下:

            一、ISC BIND DNAME解析记录签名校验拒绝服务漏洞(CNVD-2016-01548,CVE-2016-1286)

            BIND服务器上DNAME解析记录支持签名校验。攻击者利用漏洞让服务器对恶意请求(包含DNAME解析记录签名校验)进行响应,导致resolver.c或 db.c.发生断?#28304;?#35823;,最终导致BIND named主进程崩溃,造成拒绝服务攻击。递归解析器均受到漏洞的影响,而当权威服务器在特定条件下(比如Slave master发起SOA查询时)也有可能受到影响。即使权威服务器不进行身份验证或完全禁止DNSSEC配置,只要其?#37038;?#21253;含恶意签名校验的应答,也将受到影响。CNVD对漏洞的综合评?#27602;?#20026;“高危”。

            漏洞影响ISC BIND 9.0.0 -> 9.8.8, 9.9.0 -> 9.9.8-P3, 9.9.3-S1 -> 9.9.8-S5, 9.10.0 -> 9.10.3-P3版本,用户可将程序分别升级至 9.9.8-P4,9.10.3-P4,9.9.8-S6版本。

            二、ISC BIND rndc控制实例拒绝服务漏洞(CNVD-2016-01549,CVE-2016-1285)

            BIND rndc控制实例对请求输入处理存在设计缺陷,该漏洞可导致sexpr.c 或alist.c发生断言失败,最终导致在给named进程发送畸形数据包时,named进程退出(BIND可使用rndc工具来管理域名系统服务)。由于该攻击过程可发生在在身份验证前以及基于网络地址的访问控制之后,攻击者不需要进行任何身份验证,但是其需要匹配在named.conf 配置文件的controls选项所指定的地址列表。如果没有设置controls选项,则会在本地回环通路(127.0.0.1和::1)监听数据包。CNVD对漏洞的综合评?#27602;?#20026;“高危”。

            漏洞影响9.2.0 -> 9.8.8, 9.9.0->9.9.8-P3, 9.9.3-S1->9.9.8-S5, 9.10.0->9.10.3-P3版本,用户可将程序分别升级至9.9.8-P4,9.10.3-P4, 9.9.8-S6版本。临时情况下,可限制对外部连接的访问(通过利用named.conf中的"controls"配置语句),只允许与可信地?#26041;?#34892;连接。

            三、ISC BIND查询包cookie选项拒绝服务漏洞(CNVD-2016-01550,CVE-2016-2088)

            BIND 9.10 为DNS cookies(或用户身份辨别)提供原生支持,该机制旨在保护查询请求方和域名服务器进行交互时的安全。攻击者可恶意构造包含多个cookie选项的数据包导致解析器(resolver.c)发生 INSIST断言失败,从而终止named主进程。初始部署时配置有 DNS cookie支持的服务器会受到这一漏洞的影响,而未配置cookie支持选项的在?#37038;?#21040;攻击包时会忽略数据包而不会受到影响。 CNVD对漏洞的综合评?#27602;?#20026;“高危”。

            漏洞影响BIND 9.10.0 -> 9.10.3-P3版本,用户可将程序升级至9.10.3-P4版本。UNIX/Linux平台支持源编译的BIND 9.10版本中,cookie支持选项不是默认选中的,需要在安装时运行"configure"脚本时使用"--enable-sit"命令?#32961;?#25968;来选择cookie支持选项。受影响的服务器的用户如果不希望更新至?#30740;?#22797;版本,可以自行对BIND进行重新编译和部署配置,去掉cookie支持选项。而由ISC提供的Windows版本中默认有选中"--enable-sit"命令?#32961;?#25968;,使用Windows版本的用户应尽快更新版本。

            CNCERT 将继续跟踪事件后续情况。同时,请国内相关单位做好信息系统应?#20204;?#20917;排查工作,如需?#38469;?#25903;援,请联系 CNCERT。电子邮箱: [email protected],联系电话: 010-82990999。

 
? 深圳风采2011040期
深圳风采2018077期开奖结果 深圳福彩深圳风采开奖结果 深圳风采2018063 深圳福彩官网深圳风采 中国福彩深圳风采开奖结果查询 深圳风采一等奖 深圳风采福利彩票开奖结果查询双色球 深圳风采2012027 中国福彩深圳风采单式 深圳风采92期 深圳风采2018085期开奖公告 深圳风采077期 关于深圳风采的开奖问题 深圳风采2017014查询 深圳风采中奖了