近日,由美国互联网系统协会(ISC)负责开发和维护的域名解析服务软件BIND再次曝出多个安全漏洞,涉及恶意使用新增权限、造成目标服务异常结束、查询数据包触发异常等诸多安全问题。频发的安全问题,也让用商业DNS设备替代免费开源产品成为业界的共识。
主要漏洞及影响版本包括:
- CVE-2020-8620:BIND 9.15.6版本至9.16.5版本,9.17.0版本至 9.17.3版本中存在安全漏洞,攻击者可通过向TCP端口发送大量未认证的数据包利用该漏洞造成拒绝服务。
- CVE-2020-8621:BIND 9.14.0至9.16.5, 9.17.0至9.17.3存在安全漏洞,攻击者可以构造一个特殊请求造成目标服务异常结束。
- CVE-2020-8622:BIND 9.0.0至9.11.21, 9.12.0至9.16.5, 9.17.0至9.17.3,9.9.3-S1至9.11.21-S1存在安全漏洞,攻击者可以构造一个特殊请求引发断言失败造成目标服务异常结束。
- CVE-2020-8623:BIND 9.10.0至9.11.21, 9.12.0至9.16.5, 9.17.0至9.17.3,9.10.5-S1至9.11.21-S1存在安全漏洞,攻击者可以构造一个特殊的查询数据包触发异常。
- CVE-2020-8624:BIND 9.9.12 至9.9.13, 9.10.7至9.10.8, 9.11.3至9.11.21, 9.12.1至9.16.5, 9.17.0 至9.17.3, 9.9.12-S1至9.9.13-S1, 9.11.3-S1至9.11.21-S1存在安全漏洞,攻击者可以恶意使用新增权限更新其他区域内容。
目前ISC已发布涵盖升级补丁的修补版本,可访问如下链接及时修复漏洞,消除安全隐患。
https://kb.isc.org/docs/en/cve-2020-8620
https://kb.isc.org/docs/en/cve-2020-8621
https://kb.isc.org/docs/en/cve-2020-8622
https://kb.isc.org/docs/en/cve-2020-8623
https://kb.isc.org/docs/en/cve-2020-8624
这已经不是今年第一次曝出BIND相关的安全漏洞了。5月底国家信息安全漏洞共享平台(CNVD)就曾收录DNS BIND拒绝服务高危漏洞(CNVD-2020-29429,对应CVE-2020-8617)。根据统计,我国境内可能有超过500万台服务器受到这一漏洞的影响,导致域名解析服务崩溃。
作为开源软件,BIND已经近20年没有做大的版本更新,安全漏洞频出,且安全漏洞修复的分支数量已多达17个,更新极为缓慢。中国互联网络信息中心《中国域名服务安全状况与态势分析报告2018》的数据显示,仅二级及以下权威域名服务器使用的域名解析软件,BIND占比就高达 64.6%。这对于处于互联网入口位置的域名解析服务来讲,是潜在的巨大威胁,需要企业给予足够重视,不断提高安全防范能力。