1. 主页
  2. 保安警报
  3. 保安警报 (A20-05-04)

保安警报 (A20-05-04): ISC BIND 漏洞


 

发布日期: 2020年 5月 20日

  
  

描述:

Internet Systems Consortium (ISC) BIND 软件被发现存有漏洞。远端攻击者可发送特制的查询从而导致 DNS 回环解析器(recursive resolver)在处理转介回应时发送大量提取(fetches)。

BIND 9.13 及 BIND 9.15 是已过时的不稳定开发分支,并且没有安全更新提供。用户应安排升级 BIND 至最新的支援版本,或转至其他受支援的技术。

 

受影响的系统:

  • BIND 9.0.0 至 9.11.18
  • BIND 9.9.3-S1 至 9.11.18-S1
  • BIND 9.12.0 至 9.12.4-P2
  • BIND 9.13.x
  • BIND 9.14.0 至 9.14.11
  • BIND 9.15.x
  • BIND 9.16.0 至 9.16.2
  • BIND 9.17.0 至 9.17.1

 

影响:

成功利用漏洞可导致受影响的系统性能下降,或者滥用受影响的系统进行反射攻击。

 

建议:

ISC 已发行了以下的修补程式以应对上述问题。

  • BIND 9.11.19
  • BIND 9.11.19-S1
  • BIND 9.14.12
  • BIND 9.16.3
    https://www.isc.org/download/

受影响系统的管理员应遵从产品供应商的建议,立即采取行动以降低风险。

 

进一步信息:

https://kb.isc.org/docs/cve-2020-8616
https://kb.isc.org/docs/bind-9-end-of-life-dates
https://ftp.isc.org/isc/bind9/9.13.0/RELEASE-NOTES-bind-9.13.0.html
https://ftp.isc.org/isc/bind/9.15.7/RELEASE-NOTES-bind-9.15.7.html
http://www.nxnsattack.com/
https://www.hkcert.org/my_url/zh/alert/20052003
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8616

 



标签 : BIND , ISC
标签