ISC BIND TKEY 查询拒绝服务漏洞
概述:
ISC Bind9软件是目前网络上使用最为广泛的DNS服务软件。2015年7月28日,ISC公布了Bind9软件中存在的一个远程拒绝服务漏洞的信息,该漏洞影响目前几乎所有Bind9的版本,成功利用该漏洞可以让Bind9进程退出,从而造成拒绝服务攻击。
漏洞编号:
CVE-2015-5477
影响范围:
影响的Bind9版本:
BIND 9.0 所有版本
BIND 9.1 所有版本
BIND 9.2 所有版本
BIND 9.3 所有版本
BIND 9.4 所有版本
BIND 9.5 所有版本
BIND 9.6 所有版本
BIND 9.7 所有版本
BIND 9.8 所有版本
BIND9.9<9.9.7-P2
BIND9.10<9.10.2-P3
详细信息
漏洞详情:
TKEY是一种用于在两台主机之间自动生成共享密匙的机制。TKEY机制中有多种模式来指定如何生成和共享密匙。BIND9在程序中支持TKEY机制中的Diffie-Hellman密匙交换模式,但是程序在实现过程中存在缺陷。当用户向BIND9服务程序发送特定的TKEY查询时,可能引发程序的REQUIRE断言失败导致BIND9进程退出,从而造成拒绝服务攻击。
验证方法:
目前网络上已经有了该漏洞的攻击代码,您可以访问如下链接来获取攻击POC:
https://gist.github.com/bojieli/6d4c370643c6b9f64227
另一方面您可以判断您使用的BIND9程序的版本,只要是版本号包含在文档前面所列出的受影响版本中就表示您的系统存在被攻击的风险。
风险评估:
该漏洞可以直接通过DNS服务端口来进行攻击,并且影响大多数版本的BIND9,因此可能被黑客利用来进行网络攻击,DNS的故障可能给基础网络服务带来影响。目前我们已经在网络上检测到了相关的攻击流量数据。
安全建议
补丁更新:
目前ISC已经针对该漏洞发布了安全公告,并在最新版本(9.9.7-P2及9.10.2-P3)中修补了该漏洞,使用了BIND9作为DNS服务程序的管理员应该尽快升级相关服务程序的版本到最新:
下载地址:http://www.isc.org/downloads
临时解决办法:
由于攻击数据包直接通过DNS服务的主端口进行传输,因此无法使用普通的防火墙进行防护,只能尽快升级能的服务程序版本来防范攻击。
参考信息:
- ISC的安全公告
https://kb.isc.org/article/AA-01272
https://kb.isc.org/article/AA-01280
- 漏洞的CVE信息