|
|
ISC BIND中的DNS軟件更新關(guān)鍵的DoS漏洞.遠(yuǎn)程控制軟件,灰鴿子下載
![]()
在綁定服務(wù)缺陷的否定可以通過特制的DNS包觸發(fā),能夠把關(guān)鍵的服務(wù)器脫機(jī)
互聯(lián)網(wǎng)系統(tǒng)協(xié)會(huì)(ISC)修補(bǔ)的域名系統(tǒng)軟件綁定兩個(gè)漏洞�,其中一個(gè)被稱為“關(guān)鍵錯(cuò)誤”的軟件���。
綁定是最常用的DNS服務(wù)器在互聯(lián)網(wǎng)上�����,將域名轉(zhuǎn)換為IP地址���,這樣用戶可以訪問應(yīng)用程序和遠(yuǎn)程服務(wù)器無需跟蹤IP地址�。綁定是事實(shí)上的標(biāo)準(zhǔn)Linux和其他的Unix機(jī)器�����;在軟件的一個(gè)漏洞影響了大量的服務(wù)器和應(yīng)用程序���。
最新的綁定更新���,版本9.9.9-p3,9.10.4-p3,和9.11.0rc3���,修補(bǔ)拒絕服務(wù)漏洞(cve-2016-2776)可以利用特制的DNS請(qǐng)求包���。問題是發(fā)現(xiàn)內(nèi)部由ISC和影響所有服務(wù)器可以從任何來源收到的請(qǐng)求包,ISC在公告中稱�。受影響的版本包括9 x 9.8。x�,9.9.0到9.9.9-p2,9.9.3-s1到9.9.9-s3�,9.10.0到9.10.4-p2,和9.11.0a1到9.11.0rc1���。
建議用戶更新他們的捆綁安裝“補(bǔ)丁發(fā)布最接近于當(dāng)前版本的綁定關(guān)系���,”或版本9.9.9-p3,9.10.4-p3���,和9.11.0rc3���。解決方法是在結(jié)合9支持預(yù)覽版版本9.9.9-s5。
“測(cè)試由ISC已經(jīng)揭示了一個(gè)重要的錯(cuò)誤條件時(shí)產(chǎn)生的一個(gè)域名服務(wù)器是構(gòu)建一個(gè)反應(yīng)���,說:”ISC�,一直保持與自2000。
這個(gè)問題是與消息的渲染一個(gè)缺陷到包時(shí)�����,域名是構(gòu)造一個(gè)響應(yīng)�����。如果該漏洞被利用通過特制的請(qǐng)求�,它可以觸發(fā)一個(gè)斷言失敗在緩沖區(qū)�����。C�����,同時(shí)構(gòu)建一個(gè)響應(yīng)于一個(gè)特定類型的查詢���。該漏洞會(huì)成功“即使表觀源地址是不允許進(jìn)行查詢(即不匹配的“允許查詢”����������!
該問題是顯著的高嚴(yán)重性與一個(gè)7.8得分上常見的漏洞評(píng)分系統(tǒng)�����,因?yàn)樗梢赃h(yuǎn)程利用�����。紅帽的顧問說���,攻擊不需要任何身份驗(yàn)證�����,額外的特權(quán)�����,或用戶交互成功地利用這個(gè)漏洞�����,所以這個(gè)問題是特別危險(xiǎn)的�����。
我們拒絕在安全咨詢服務(wù)缺陷的嚴(yán)重程度是很容易的�,尤其是當(dāng)與特權(quán)升級(jí)或遠(yuǎn)程執(zhí)行代碼。然而�����,因?yàn)榻壎ㄊ荌nternet上實(shí)現(xiàn)DNS協(xié)議的中央�����,一個(gè)漏洞�,可能被利用來敲系統(tǒng)離線有深遠(yuǎn)的影響。一個(gè)特制的查詢�,可能崩潰的名稱服務(wù)器守護(hù)進(jìn)程不是一個(gè)單純的不便或者一個(gè)小挫折�����。它可以把互聯(lián)網(wǎng)的一部分���,它的膝蓋���。
ISC還沒有看到任何證據(jù)表明攻擊者知道或已經(jīng)利用的漏洞���,但警告說,所有的服務(wù)器可以從任何來源收到的請(qǐng)求包應(yīng)更新�����。ISC已修補(bǔ)在其分布的斷層�����,以及各種Linux發(fā)行版�����,如紅色的帽子���,正在運(yùn)往修復(fù)自己的綁定的實(shí)現(xiàn)�。
這種綁定更新還修正了此前披露的中等嚴(yán)重程度的DOS狀態(tài)(cve-2016-2775)在輕量級(jí)解析器綁定的實(shí)現(xiàn)(lwresd)協(xié)議���。錯(cuò)誤源于一個(gè)事實(shí)�,一個(gè)服務(wù)器可以終止如果解析器試圖解決一個(gè)查詢的名稱���,而在聯(lián)合搜索列表�,超過所允許的最大長(zhǎng)度。
“服務(wù)器是由該缺陷影響將以分割錯(cuò)誤終止���,導(dǎo)致拒絕服務(wù)的客戶端程序試圖解決的名字���,“ISC在公告中說。
該漏洞也“麻煩”的嵌入式設(shè)備運(yùn)行綁定�,修復(fù)涉及固定綁定和更新所有的設(shè)備與嵌入式軟件。我們將再次看到機(jī)構(gòu)爭(zhēng)先恐后地確定他們是否使用該組件�����,在哪里�,”Mike Pittenger說,在黑鴨子軟件安全策略副總裁�����。
|
|
加載中...
發(fā)表于 2016-10-3 08:29:01
收藏