据国家互联网应急中心网站消息,近日,国家信息安全漏洞共享平台(CNVD)收录了ISC BIND 9存在断言错误拒绝服务漏洞(CNVD-2016-09673,对应CVE-2016-2848)。远程攻击者利用漏洞可向服务器发送畸形数据包,导致服务器断言失败退出。CNVD对漏洞的综合评级均为“高危”。
ISC BIND 9是美国Internet SystemsConsortium(ISC)组织所维护的一套DNS域名解析服务软件。该软件被披露存在拒绝服务漏洞,包含特定选项的畸型数据包能引发ISC BIND9断言失败。远程攻击者利用漏洞可向服务器发送畸形数据包,导致服务器断言失败造成拒绝服务攻击威胁。
该漏洞主要溯及2013年5月前发布的ISC BIND 9版本,影响涉及ISC BIND 9.1.0 -> 9.8.4-P2, 9.9.0 -> 9.9.2-P2版本,权威服务器和递归服务器均会受到影响。而2013年5月发布的ISC BIND 9版本在补丁代码中包含标识为3458号的相关变更信息,后续包含该变更信息的版本均不受漏洞影响。
目前,ISC已发布了漏洞修复方案,用户可将程序分别升级至9.9.9-P3,9.10.4-P3,9.11.0版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。
本文转自d1net(转载)
