| 北京时间2月23日,ISC发布了一个互联网上应用广泛的域名解析服务器软件——BIND存在的高危漏洞,该漏洞可被利用发起远程拒绝服务攻击。国家信息安全漏洞共享平台(CNVD)在漏洞公布之前获知了相关情况,并对漏洞进行了跟踪分析。CNVD认为该漏洞可能对国内众多采用相应版本软件的域名服务器构成较为严重的威胁,综合评级为“高危”。 经分析, BIND 9.7.1、9.7.2在处理IXFR(Incremental zone transfer,增量区域传输)时会在一个小的时间窗口内将其区域内存数据库(in-memory zone database)锁定。如果在该时间窗口BIND服务器再收到查询请求,则会引起死锁,导致Bind服务器无法响应正常的请求造成拒绝服务。向BIND服务器发起的查询请求速率和更新频率越高,则发生拒绝服务的可能性越大。 目前,针对上述版本的软件ISC并未发布官方补丁。CNCERT提醒使用相应版本软件作为域名服务器的用户做好防范工作,建议措施如下: (一)目前已知受漏洞影响的BIND软件版本有9.7.1-P3和9.7.2-P3,而9.8、9.7.3和9.6.X及以下版本不受影响,建议使用受漏洞影响BIND版本的用户做好软件更新及相关应用部署工作。 (二)对于使用BIND版本为9.7.2的用户,如果暂时无法进行软件更新,可临时在系统启动时使用参数“-n 1”,即强制域名服务器使用单线程处理所有数据,避开带有攻击意图的域名请求。 |