BIND安全漏洞导致DNS服务器崩溃

ISC 为 BIND 发布更新，修复一个可导致一些 DNS 服务器崩溃的远程可利用的安全漏洞。这个高危漏洞的编号是 CVE-2017-3145，是由一个使用后释放 bug 引发的，可导致出现断言失败错误以及BIND 域名服务器 (named) 进程崩溃。

虽然尚未有证据表明该漏洞已被用于恶意攻击中，但 ISC 表示“多方”已报告了由这个 bug 引发的问题。受影响的系统作为 DNSSEC 验证解析器使用，因此临时禁用 DNSSEC 验证可作为权变措施。

这个漏洞是由 Cygate AB 公司的 Jayachandran Palanisamy 发现的，影响 BIND 版本 9.9.9-P8 至 9.9.11, 9、10.4-P8 至 9.10.6、 9.11.0-P5 至 9.11.2、9.9.9-S10 至 9.9.11-S1、9.10.5-S1 至 9.10.6-S1 和 9.12.0a1 至 9.12.0rc1。 新发布的BIND 9.9.11-P1、9.10.6-P1、9.11.2-P1 和 9.12.0rc2已修复该问题。

ISC声明

ISC 解释称，在解析过程中地址被释放后会遭引用，导致出现断言失败这种情况发生的几率很小，但解析延迟导致几率增加（延迟会在未来的维护发布中解决。）

ISC 还披露了一个中危 DHCP 漏洞 CVE-2017-3144，影响的版本是 4.1.0 至 4.1-ESV-R15、4.2.0 至4.2.8 以及4.3.0 至 4.3.6。ISC表示，通过利用这个漏洞，有权限和 OMAPI 控制端口建立联系的攻击者能够耗尽DHCP 服务器可用的套接字描述符池。耗尽后，服务器不会接受额外的连接，可能否认来自服务器运营商的合法连接访问。虽然服务器将持续接收并为 DHCP 客户端请求服务，但运营商使用 OMAPI 控制服务器状态的能力可遭拦截、增加新的租赁预定等。

ISC 已开发一款补丁并计划增加到 DHCP 的未来维护发布中。同时，用户可通过拒绝访问来自未经授权客户端的 OMAPI 控制端口的方式保护自己。或者组织机构可从 ISC 获得补丁并整合到自己的代码中。