绿盟安全月刊->第37期->最新漏洞 ISC BIND SIG缓存资源记录远程缓冲区溢出漏洞

日期：2002-12-02

发布日期：2002-11-12
更新日期：2002-11-13

受影响系统：
ISC BIND 8.3.3
ISC BIND 8.3.2
ISC BIND 8.3.1
ISC BIND 8.3
ISC BIND 8.2.3
ISC BIND 8.2.2
ISC BIND 8.2.1
ISC BIND 8.2
ISC BIND 8.1.2
ISC BIND 8.1.1
ISC BIND 8.1
ISC BIND 4.9.9
ISC BIND 4.9.8
ISC BIND 4.9.7
ISC BIND 4.9.6
ISC BIND 4.9.5
ISC BIND 4.9.4
ISC BIND 4.9.3
ISC BIND 4.9.10
ISC BIND 4.9
    - Linux系统  
    - Unix系统
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 6160
CVE(CAN) ID: CAN-2002-1219

BIND是一个应用非常广泛的DNS协议的实现，由ISC(Internet Software Consortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。

BIND 4和BIND 8中存在一个缓冲区溢出漏洞可能导致远程入侵有问题的DNS服务器。如果攻击者控制了任意一台权威DNS服务器, 就可以让BIND在其内部数据库中缓存DNS信息(如果递归被允许)。缺省递归是被允许的，除非通过命令行参数或在BIND配置文件中被禁止。当BIND在创建包含SIG资源记录(RR)的DNS回复报文时会发生缓冲区溢出，从而造成任意代码被以DNS服务器运行权限执行。

要实施攻击，要求攻击者控制一台有效的权威DNS服务器，同时被攻击的BIND服务器要允许递归查询。

<*来源：ISS X-Force （xforce@iss.net）
  
  链接：http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果您并不需要提供递归查询, 您可以关闭之. 在大多数情况下, 递归查询都是
可以关闭的.

  具体方法可参考如下步骤：

    <1> BIND 8系列

    打开BIND配置文件named.conf(例如/etc/named.conf)

    在options栏中增加下列行:
    recursion no;

    例如:
    options {
        ...
        recursion no;
        ...
    };

    <2> BIND 4系列

    打开BIND配置文件named.boot

    增加下列行:
    options no-recursion
    
    重新起动BIND服务以使修改生效.

* 如果您必需提供递归查询服务, 您可以在网关设备或边界防火墙上过滤对DNS服务器
  TCP/53端口的访问.

  根据ISS X-Force小组的分析, 目前已知的攻击方法是通过发送TCP报文来实现的.
  除了发送很大的DNS报文或者是在主/从DNS服务器间进行域传输的情况, 基本使用
  UDP进行传输就足够了. 因此如果您无法立刻安装补丁又无法关闭递归查询, 您可以
  通过过滤TCP/53端口来减小受到攻击的可能性.

  注意这只能减少但不能完全消除受到攻击的可能性.

* 升级到BIND 9, 例如BIND 9.2.1:
  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

厂商补丁：

ISC
---
ISC已经提供的BIND 4.9.11, 8.2.7, 8.3.4中修复了这一漏洞。如果您只想安装补丁修补当前BIND系统，可访问如下链接获取补丁文件:

http://www.isc.org/products/BIND/bind-security.html