CVE-2012-3817 [CN]: 大量 DNSSEC 验证查询或可触发 Bind9“内存毁坏”失败声明

AA-00757

题目:大量 DNSSEC 验证查询或可触发 Bind9“内存毁坏”失败声明
摘要:
当 DNS 服务器初始化前所使用的是一个“内存毁坏”的数据结构时,大量的
DNSSEC 验证查询可触发该服务器发出一个失败声明。
CVE: CVE-2012-3817
文档版本:2.0
发布日期:2012 年 7 月 24 日
受影响软件:BIND9
软件版本:
9.6-ESV-R1 ~ 9.6-ESV-R7-P1; 9.7.1 ~ 9.7.6-P1; 9.8.0 ~ 9.8.3-P1;
9.9.0 ~ 9.9.1-P1.
严重程度:高危
可利用方式:远程
描述:
由于 Bind9 会将那些由于配置错误或信任链损坏而导致 DNSSEC 验证失败的
查询域名缓存在内存中,在这种情况下,伴随着 DNS 服务器接受到的大量带有
DNSSEC 验证功能的 DNS 查询请求,这些缓存数据可能会在 DNS 服务器初始化完
成之前被利用到,从而触发失败声明。
该漏洞只在 DNS 服务器支持 DNSSEC 验证功能的情况下出现。
请注意:Bind9.4 和 9.5 同样会受到影响,但是这些版本已经超过他们的“生命
终点”,ISC 不再对其进行任何测试或安全修复。关于当前所支持的活跃版本信
息,请参见 http://www.isc.org/software/bind/versions
CVSS 分值: 7.8
CVSS 评价基准: (AV:N/AC:L/Au:N/C:N/I:N/A:C)
更多关于 CVSS ( Common Vulnerability Scoring System)的信息请参考: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:C%29
工作环境:无。
解决方案:
对当前使用的 Bind 根据具体版本进行相应的补丁升级,可在
www.isc.org/downloads/all 下载:
BIND 9 version 9.9.1-P2
BIND 9 version 9.8.3-P2
BIND 9 version 9.7.6-P2
BIND 9 version 9.6-ESV-R7-P2
漏洞利用:目前未知。
致谢:ISC 感谢来自 IIS.se 的 Einar Lonn
文档版本修订记录:
1.0 - 2012 年 7 月 11 日 阶段 1 发布通知
1.1 - 2012 年 7 月 17 日 阶段 1 再次发布
(由于 CVE-2012-3868 的补丁变化)
1.2 - 2012 年 7 月 23 日 阶段 2 和 3 发布
2.0 - 2012 年 7 月 24 日 阶段 3(公开)发布
问题咨询:关于该公告的问题,请发信至 security-officer@isc.org
ISC 安全漏洞公告政策:关于我们当前的安全通告政策的详情,请参见
https://www.isc.org/security-vulnerability-disclosure-policy
英文版本:http://www.isc.org/software/aftr/advisories/cve-2012-3817
日语版本:https://kb.isc.org/article/AA-00752
西班牙语版本:https://kb.isc.org/article/AA-00750
德语版本:https://kb.isc.org/article/AA-00743
该安全公告也可以在我们的 KnowledgeBase 里找到:
https://deepthought.isc.org/Article/AA-00729
完整的安全漏洞及影响版本列表,请参考 BIND Security Matrix:
http://www.isc.org/software/bind/security/matrix
注意:ISC 只负责对当前支持版本
(http://www.isc.org/software/bind/versions)进行更新。
免责声明:
Internet Systems Consortium (ISC)基于“当前现状”原则发布该公告,
并不提供或暗示任何形式的担保。ISC 明确的拒绝承担有关该公告的任何担保,
包括但不限于:
任何默认的商品性能担保、
专门的适用性、
无潜在瑕疵、
无侵权。
由于使用和利用该公告所造成的后果全部由用户自己承担。ISC 可能会随时更改
此公告,请以该公告 URL 提供的版本为准。