CVE-2012-5166 [CN]: 特意构造的DNS数据可导致服务器被锁定
  • 16 Oct 2012
  • 1 Minute to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-5166 [CN]: 特意构造的DNS数据可导致服务器被锁定

  • Dark
    Light
  • PDF

Article Summary

题目: 特意构造的DNS数据可导致服务器被锁定

摘要:

特意构造的资源记录数据 一旦被引入域名服务器,可导致该服务器被锁定。

CVE : CVE-2012-5166

文档版本 :2.0

发布日期 :2012年10月9日

受影响软件 :BIND

软件版本 :9.2.x -> 9.6.x, 9.4-ESV->9.4-ESV-R5-P1, 9.6-ESV->9.6-ESV-R7-P3, 9.7.0->9.7.6-P3, 9.8.0->9.8.3-P3, 9.9.0->9.9.1-P3

严重程度 :高危

可利用方式 :远程

描述

如果特定组配的RDATA被载入域名服务器,不管载入方式是通过缓存还是权威区数据,那么当相关 的记录随后被查询时,可导致该服务器被锁定。

请注意:Bind9.2、9.3、9.4和9.5同样会受到 影响,但是这些版本已经超过他们的“生命终点”,ISC不再对其进行任何 测试或安全修复。关于当前所支持的活跃版本信息,请参见http://www.isc.org/software/bind/versions

影响

一旦服务器因上述原因被 锁定,该服务器将不再对查询和控制命令作出响应,只有重启服务器才能恢复正常服务。

利用该漏洞,可远程引诱 递归服务器发起对特定权威服务器的查询。如果这些特定组配的RDATA通 过区文件、区传送或者区更新的方式载入权威域名服务器,则该权威域名服务器同样也会受到该漏洞的影响。

          **CVSS** **分值** : 7.8

CVSS 评价基准 : (AV:N/AC:L/Au:N/C:N/I:N/A:C)

更多关于CVSS ( Common Vulnerability Scoring System)的 信息请参考:

http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

工作环境

将选项“minimal-responses”设为“yes”可阻止被锁定

漏洞利用 :目前未知。

解决方案:

对当前使用的Bind根据具体版本进行相应的补丁升级,可在www.isc.org/downloads/all下 载:

BIND 9 version 9.7.7, 9.7.6-P4

BIND 9 version 9.6-ESV-R8, 9.6-ESV-R7-P4

BIND 9 version 9.8.4, 9.8.3-P4

BIND 9 version 9.9.2, 9.9.1-P4

致谢 :ISC感谢来自Dyn, Inc.的Jake Montgomery

文档版本修订记录

1.0 - 2012年10月1日 阶段1预先发布

1.1 - 2012年10月8日 阶段3发布

2.0 - 2012年10月9日 阶段4公开发布

英文版本: https://kb.isc.org/article/AA-00801

日语版本https://kb.isc.org/article/AA-00808

西班牙语版本https://kb.isc.org/article/AA-00814

完整的安全漏洞及影响版 本列表,请参考 BIND Security Matrix:http://www.isc.org/software/bind/security/matrix

问题咨询 :关于该公告的问题,请 发信至security-officer@isc.org

注意 :ISC只负责对当前支持版本(http://www.isc.org/software/bind/versions) 进行更新。

ISC 安全漏洞公告政策 :关于我们当前的安全通 告政策的详情,请参见https://www.isc.org/security-vulnerability-disclosure-policy

该安全公告也可以在我们 的KnowledgeBase里找到:https://www.isc.org/software/bind/advisories/cve-2012-5166

免责声明

Internet Systems Consortium (ISC)基于“当前现状”原则发 布该公告,并不提供或暗示任何形式的担保。ISC明确的拒绝承担有关该公 告的任何担保,包括但不限于:任何默认的商品性能担保、专门的适用性、无潜在瑕疵、无侵权。由于使用和利用该公告所造成的后果全 部由用户自己承担。ISC可能会随时更改此公告,请以该公告URL提供的版本为准。

© 2001-2018 Internet Systems Consortium For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership. ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.