聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞影响的BIND版本为 9.16.19、9.17.16和9.16.19-S1。补丁已在 9.16.20、9.17.17和9.16.20-S1 中修复。
值得注意的是,虽然该漏洞在当地时间8月18日公开,但实际上客户在一周前就已提前知晓。
该漏洞可造远程利用,导致 BIND 名称服务器 (named) 进程崩溃。
ISC 发布安全公告指出,“如果 named 试图以大于当前有效界面最大传输单元 (MTU) 的响应通过UDP 响应,且如果响应速率限制 (RRL) 是活跃状态,那么就会触发断言失败(导致named服务器进程终止)。”
该缺陷虽然可通过故意利用或错误配置来触发,但也可导致正常操作中出现问题。ISC 指出并未发现利用该漏洞的恶意攻击。
美国网络安全和基础设施安全局 (CISA) 建议相关组织机构参考 ISC 安全公告并采取必要措施。
这是ISC在今年发布的第三轮安全更新。4月,该机构通知用户称攻击者可利用多个漏洞发动拒绝服务攻击并甚至可能执行远程代码。
虽然目前尚不存在BIND漏洞遭恶意攻击的报告,但流行 DNS 软件中的缺陷可触发多种问题。2018年,ISC 报告称某安全漏洞导致某些 DNS 服务器崩溃。
https://www.securityweek.com/high-severity-dos-vulnerability-patched-bind-dns-software
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
本文始发于微信公众号(代码卫士):BIND DNS 软件修复高危 DoS 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论