警告! ISC敦促更新DNS服务器以封堵新的BIND域名系统漏洞 ISC敦促更新DNS服务器以封堵新

伯克利网络域名（BIND）9 是一个被广泛应用的开源 DNS 系统项目，但最近，其曝出了一个严重性颇高的 CVE-2021-25216 安全漏洞。互联网系统协会（ISC）指出，攻击者能够利用 BIND 的 GSS-TSIF 协议和 GSSAPI 安全策略协商机制中的缓冲区溢出漏洞来触发远程执行，进而导致更广泛的漏洞利用，包括但不限于系统崩溃和远程代码执行。

文章图片

（来自：US Cert）
在 ISC 发布的一份咨询报告中，该协会概述了可能影响 DNS 系统安全性的三个漏洞。其中基于通用弱点评价体系（CVSS），BIND 9 32 / 64-bit 版本的漏洞严重性评级，分别为 8.1 / 7.4。
需要指出的是，在使用默认 BIND 配置的情况下，系统并不会暴露易受攻击的代码路径，除非管理者另行设置了服务器的 tkey-gssapi-keytab / tkey-gssapi-credential 值。

通报中写道：尽管默认配置不易受到攻击，但 GSS-TSIG 经常被用于将 BIND 和 Samba 集成到一起的网络中，以及将 BIND 服务器和活动目录（Active Directory）域控制器结合在一起的混合服务器环境中。
对于满足了这些条件的服务器，ISC SPNEGO 实施极易受到各种类型的攻击，但具体取决于构建 BIND 的特定 CPU 体系结构。

【警告!|ISC敦促更新DNS服务器以封堵新的BIND域名系统漏洞】ISC 提醒的第二个漏洞，是 CVSS 评级达到了 7.5 分的 CVE-2021-25215。主要问题在于 DNAME 记录的处理方式中发现的可被远程利用的缺陷，且可能由于断言（Assertions）失败而导致进程崩溃。
危害最小的那个 Bug，是 CVSS 评级 6.5 分的 CVE-2021-25214。研究人员在增量区域传输（IXFR）中发现了这个问题，如果名称服务器收到了错误格式的 IXFR，可能导致解析过程因断言失败而崩溃。
目前 ISC 尚未收到有关漏洞在野外被利用的报告，但还是希望大家能够对此提高警惕。因为仅需曝出一次成功的利用，就可能对 DNS 服务造成广泛的破坏。
比如在遭受了 DoS 拒绝服务攻击后，可能需要耗费数小时来补救，且后续很容易再次遭到破坏。基于此，ISC 希望尽快部署更新，目前 BIND 9.11.31、9.16.15 和 9.17.12 版本中均已集成了修复程序。
最后，本周早些时候，微软披露了互联网（IoT）和工业技术代码中存在的内存错误分配 bug。这类操作被其统称为 BadAlloc，目前该公司正在与国土安全部（DHS）合作，以向受影响的供应商发出警报。