CERT/CC发布警告称DNS服务器软件“BIND”存在安全漏洞。受该安全漏洞影响的是版本4和8。如果该漏洞被恶意使用,就可能在DNS服务器上以管理员权限执行任意代码,或是妨碍服务。其对策是安装补丁程序或进行版本升级。
此次CERT/CC所警告的安全漏洞为如下4种:
1. Cached malformed SIG record buffer overflow
2. Overly large OPT record assertion
3. ISC BIND 8 fails to properly de-reference cache SIG RR elements with invalid expiry times from the internal database
4. Domain Name System (DNS) stub resolver libraries vulnerable to buffer overflows via network name or address lookups
受其影响的版本分别如下:
1. 4.9.5~4.9.10,8.1,8.2~8.2.6,8.3.0,8.3.3
2. 8.3.0~8.3.3
3. 8.2~8.2.6,8.3.0~8.3.3
4. 4.9.2~4.9.10
另外,第4项不是DNS服务器软件,是标准库(DNS stub resolver libraries)的安全漏洞。
如果恶意使用1和4,就可能在DNS服务器上执行任意代码,而如果恶意使用2和3,则可能妨碍DNS服务器所提供的服务。
其对策是安装各OS开发商提供的补丁程序和进行版本升级。各开发商的应对情况及ISC(因特网软件联盟)所提供的补丁程序的链接登载在CERT/CC的网页上。ISC强烈建议升级到最新版本9.2.1。
另外,仅靠打补丁和版本升级并不能完全消除标准库的安全漏洞的影响。必须重新起动动态标准库的服务,并重新编译静态使用的应用程序。
