保安警报 (A17-06-04): ISC BIND多个漏洞

描述:

Internet Systems Consortium (ISC) BIND 被发现存在多个漏洞。远端攻击者可发送特制的查询从而触发处理 Response Policy Zones (RPZ) 规则时的错误以及导致无休止的循环和重复地查询同一套权威域名伺服器。另外，攻击者可在本机透过利用 BIND 视窗系统的安装程式中的未引用服务路径 (unquoted service path) 以取得权限提升。

受影响的系统:

• BIND 9.2.6-P2 至 9.2.9
• BIND 9.3.2-P1 至 9.3.6
• BIND 9.4.0 至 9.8.8
• BIND 9.9.0 至 9.9.10
• BIND 9.9.3-S1 至 9.9.10-S1
• BIND 9.10.0 至 9.10.5
• BIND 9.10.5-S1
• BIND 9.11.0 至 9.11.1

影响:

成功利用这些漏洞可以引致服务受阻断及在受影响的系统取得权限提升。

建议:

ISC已发行了有关的修补程式以应对上述问题。用户可从以下网址下载:

• BIND 9 version 9.9.10-P1
• BIND 9 version 9.10.5-P1
• BIND 9 version 9.11.1-P1
• BIND 9 version 9.9.10-S2
• BIND 9 version 9.10.5-S2

http://www.isc.org/downloads/

受影响系统的用户应遵从产品供应商的建议，立即采取行动以降低风险。

进一步信息:

https://kb.isc.org/article/AA-01495
https://kb.isc.org/article/AA-01496
https://www.us-cert.gov/ncas/current-activity/2017/06/15/ISC-Releases-Security-Updates-BIND
https://www.hkcert.org/my_url/en/alert/17061601
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3141