CVE-2012-3817 [CN]: 大量 DNSSEC 验证查询或可触发 Bind9“内存毁坏”失败声明
  • 03 Feb 2020
  • 1 Minute to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-3817 [CN]: 大量 DNSSEC 验证查询或可触发 Bind9“内存毁坏”失败声明

  • Dark
    Light
  • PDF

Article Summary

题目: 大量 DNSSEC 验证查询或可触发 Bind9“内存毁坏”失败声明
摘要:
当 DNS 服务器初始化前所使用的是一个“内存毁坏”的数据结构时,大量的
DNSSEC 验证查询可触发该服务器发出一个失败声明。
CVE: CVE-2012-3817
文档版本: 2.0
发布日期: 2012 年 7 月 24 日
受影响软件: BIND9
软件版本:
9.6-ESV-R1 9.6-ESV-R7-P1; 9.7.1 9.7.6-P1; 9.8.0 9.8.3-P1;
9.9.0 9.9.1-P1.
严重程度: 高危
可利用方式: 远程
描述:
由于 Bind9 会将那些由于配置错误或信任链损坏而导致 DNSSEC 验证失败的
查询域名缓存在内存中,在这种情况下,伴随着 DNS 服务器接受到的大量带有
DNSSEC 验证功能的 DNS 查询请求,这些缓存数据可能会在 DNS 服务器初始化完
成之前被利用到,从而触发失败声明。
该漏洞只在 DNS 服务器支持 DNSSEC 验证功能的情况下出现。
请注意:Bind9.4 和 9.5 同样会受到影响,但是这些版本已经超过他们的“生命
终点”,ISC 不再对其进行任何测试或安全修复。关于当前所支持的活跃版本信
息,请参见 http://www.isc.org/software/bind/versions
CVSS 分值: 7.8
CVSS 评价基准: (AV:N/AC:L/Au:N/C:N/I:N/A:C)
更多关于 CVSS ( Common Vulnerability Scoring System)的信息请参考: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:C%29
工作环境: 无。
解决方案:
对当前使用的 Bind 根据具体版本进行相应的补丁升级,可在
www.isc.org/downloads/all 下载:
BIND 9 version 9.9.1-P2
BIND 9 version 9.8.3-P2
BIND 9 version 9.7.6-P2
BIND 9 version 9.6-ESV-R7-P2
漏洞利用: 目前未知。
致谢: ISC 感谢来自 IIS.se 的 Einar Lonn
文档版本修订记录:
1.0 - 2012 年 7 月 11 日 阶段 1 发布通知
1.1 - 2012 年 7 月 17 日 阶段 1 再次发布
(由于 CVE-2012-3868 的补丁变化)
1.2 - 2012 年 7 月 23 日 阶段 2 和 3 发布
2.0 - 2012 年 7 月 24 日 阶段 3(公开)发布
问题咨询: 关于该公告的问题,请发信至 security-officer@isc.org
ISC 安全漏洞公告政策:关于我们当前的安全通告政策的详情,请参见
https://www.isc.org/security-vulnerability-disclosure-policy
英文版本: https://kb.isc.org/docs/aa-00729
日语版本: https://kb.isc.org/article/AA-00752
西班牙语版本: https://kb.isc.org/article/AA-00750
德语版本: https://kb.isc.org/article/AA-00743
该安全公告也可以在我们的 KnowledgeBase 里找到:
https://deepthought.isc.org/Article/AA-00729
完整的安全漏洞及影响版本列表,请参考 BIND Security Matrix:
http://www.isc.org/software/bind/security/matrix
注意:ISC 只负责对当前支持版本
(http://www.isc.org/software/bind/versions)进行更新。
免责声明:
Internet Systems Consortium (ISC)基于“当前现状”原则发布该公告,
并不提供或暗示任何形式的担保。ISC 明确的拒绝承担有关该公告的任何担保,
包括但不限于:
任何默认的商品性能担保、
专门的适用性、
无潜在瑕疵、
无侵权。
由于使用和利用该公告所造成的后果全部由用户自己承担。ISC 可能会随时更改
此公告,请以该公告 URL 提供的版本为准。

© 2001-2018 Internet Systems Consortium
For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.
ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.