DNS软件BIND遭受严重的DOS漏洞影响

互联网软件系统联盟 (ISC) 本周修复了DNS软件BIND 中一个严重的DoS漏洞。

该漏洞编号为CVE-2017-3135，是由来自Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik报告的。这个漏洞影响BIND 9.8.8版本、自9.9.9版本以来的所有9.9版本、所有的9.10版本以及所有的9.11版本。该漏洞已通过发布9.9.9-P6、9.10.4-P6和9.11.0-P3版本得到修复。

该漏洞的CVSS评分为7.5，在服务器使用某种配置的情况下可被远程利用。安全公告指出，某些同时使用DNS 64和RPZ的配置会导致出现INSIST断言失败或者NULL指针读取问题。在某些情况下，当同时使用DNS64和RPZ来覆盖查询响应时，查询进程都会以一种不一致的状态重新开始，从而导致INSIST断言失败的问题或者尝试通过NULL指针读取的问题。只有同时使用DNS64和RPZ的服务器才易受攻击。

安全公告建议更新，还提供了一些权变措施如删除配置中的DNS64或RPZ，或者限制策略区中的内容。

2017年1月份，ISC已经发布更新解决了四个DNS软件BIND中的高危漏洞。