BIND(BerkeleyInternetNameDaemon)是当今互联网上最常用的DNS服务器软件。使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的90%。BIND现在由InternetSystemsConsortium(ISC)开发和维护。近日,ISC发布了一份安全公告,敦促用户更新他们的DNS服务器以修复BIND漏洞。第一个漏洞的CVE编号为CVE-2021-25216,32位版本的CVSS评分为8.1分,64位版本的CVSS评分为7.4分。攻击者可通过对BINDGSSAPI安全策略协商机制执行缓冲区溢出攻击,远程触发该漏洞,导致系统崩溃、远程代码执行等漏洞利用。但是,使用默认的BIND配置,除非还设置了服务器值(tkey-gssapi-keytab/tkey-gssapi-credential),否则不会暴露易受攻击的代码路径。虽然默认配置不容易受到攻击,但GSS-TSIG经常用于BIND集成Samba和结合了BIND服务器和ActiveDirectory域控制器的混合服务器环境。对于满足这些条件的服务器,ISCSPNEGO实现将面临不同类型的攻击,具体取决于CPU架构。第二个漏洞的CVE编号为CVE-2021-25215,CVSS评分为7.5。是一个DNAME记录处理的远程利用漏洞,可能导致进程崩溃。第三个漏洞的CVE编号为CVE-2021-25214,CVSS评分为6.5。它是增量区域传输(IXFR)中的一个安全漏洞。如果命名服务器收到伪造的IXFR,将导致命名过程崩溃。BIND漏洞的影响还是很大的,利用成功后可能会造成大规模的服务中断。目前,ISC尚未发现任何相关漏洞的野外利用。大部分漏洞发现于BIND9,目前BIND9.11.31、9.16.15、9.17.12已修复相关漏洞。本文翻译自:https://www.zdnet.com/article/isc-urges-updates-of-dns-servers-to-wipe-out-new-bind-vulnerabilities/如有转载请注明出处.
