上个月,流行DNS软件BIND中的一个严重DoS漏洞(CVE-2016-2776)得到了修补,但是该漏洞已经被广泛利用,用以摧毁系统。绿盟科技发布高危漏洞预警通告,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。
该漏洞由互联网系统联盟(ISC)发现并以CVE-2016-2776的ID进行追踪。9月下旬,BIND 9.9.9-P3、9.10.4-P3、9.11.0rc3的发布修补了这一漏洞。攻击者可通过特制的DNS报文,利用该漏洞进行DoS攻击。
BIND漏洞影响范围
本小结内容由绿盟科技提供
影响的版本
- BIND 9 version 9.0.x -> 9.8.x
- BIND 9 version 9.9.0->9.9.9-P2
- BIND 9 version 9.9.3-S1->9.9.9-S3
- BIND 9 version 9.10.0->9.10.4-P2
- BIND 9 version 9.11.0a1->9.11.0rc1
不受影响的版本
- BIND 9 version 9.9.9-P3
- BIND 9 version 9.10.4-P3
- BIND 9 version 9.11.0rc3
BIND是什么
1984年,加州大学伯克利分校的几个学生弯沉管理Unix名称服务DNS,称为Berkeley Internet Name Domain(BIND)。目前,它是物联网上使用最为广泛的DNS服务软件。
BIND的发行版一般包含三个部分:域名服务器、域名解析器库、软件测试工具
BIND漏洞PoC已经开始散播
10月4日,在有人提供概念验证(PoC)代码和Metasploit模块之后不久,ISC宣布其已知道有导致服务器崩溃的攻击明显利用了这个漏洞。日本国家警察局也发出警告,提醒用户小心“无差别攻击”。
该漏洞与DNS服务器如何构造针对特定查询的响应有关。如果针对一个查询的响应大于默认的512字节,就会导致BIND名称服务器(named)进程崩溃。
绿盟科技发布预警报告
绿盟科技将此次BIND漏洞(CVE-2016-2776),定为高级,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。
绿盟科技发布的预警通告中称
ISC互联网系统协会(Internet Systems Consortium)官网发布了一个安全通告,公布了编号为CVE-2016-2776的漏洞及其修复情况。该漏洞位于文件buffer.c中,当程序在为精心构造的查询请求构建响应时会遇到断言失败,导致程序崩溃,从而造成拒绝服务。详情请见如下链接:
https://kb.isc.org/article/AA-01419
趋势科技博客发布文章
在周三发布的一篇博文中,安全公司Trend Micros描述了这一漏洞的成因:
“当针对一个DNS查询构造响应时,DNS服务器保留了响应缓冲区中的空间(默认为512)。然后,它按照Answer RR所需大小增加msg->reserved的大小。Answer RR所需大小也会与msg->reserved的大小一起增加,如果响应缓冲拥有其他资源记录(Resource Records)的话,两者将相同。
在修补漏洞之前,服务器并未考虑12字节的DNS头部。通过dns_message_rendersection()函数从Query渲染Resource Records之后,DNS头部字节也会增加响应流量的大小。所以,如果DNS响应(r.length)的流量小于512字节(msg->reserved),该函数会返回true。但是,加上12字节头部之后,如果响应流量超过固定保留的512字节,服务就会终止。”
发布概念验证利用程序和Metasploit模型的Infobyte的研究人员相信,对msg->reserved变量的使用会导入类似CVE-2016-2776的漏洞。
这并不是第一次有攻击者利用BIND中的DoS漏洞攻击DNS服务器。去年,研究人员就警告过,攻击者广泛利用了重要漏洞(CVE-2015-5477),可能导致严重的服务中断。
BIND漏洞(CVE-2016-2776)修复办法
官方已经发布了版本升级,建议用户升级到最新版本,下载链接如下:
