绿盟安全月刊->第37期->最新漏洞 ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞

日期：2002-12-02

发布日期：2002-11-12
更新日期：2002-11-13

受影响系统：
ISC BIND 8.3.3
ISC BIND 8.3.2
ISC BIND 8.3.1
ISC BIND 8.2.6
ISC BIND 8.2.5
ISC BIND 8.2.4
ISC BIND 8.2.3
ISC BIND 8.2.2
ISC BIND 8.2.1
ISC BIND 8.2
ISC BIND 8.3
    - Linux系统  
    - Unix系统
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 6159
CVE(CAN) ID: CAN-2002-1221

BIND是一个应用非常广泛的DNS协议的实现，由ISC(Internet Software Consortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。

允许递归查询的BIND 8服务器可能会由于使用一个无效空指针而造成服务中断。一个控制了一个权威域名服务器的攻击者可以导致受影响的BIND 8服务器试图缓存带有无效过期时间的SIG资源记录的信息。这些记录会被从BIND内部数据库中删除，但BIND仍然会错误地引用这些记录，从而造成拒绝服务攻击。

<*来源：ISS X-Force （xforce@iss.net）
  
  链接：http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果您并不需要提供递归查询, 您可以关闭之. 在大多数情况下, 递归查询都是
可以关闭的.

  具体方法可参考如下步骤：

    打开BIND配置文件named.conf(例如/etc/named.conf)

    在options栏中增加下列行:
    recursion no;

    例如:
    options {
        ...
        recursion no;
        ...
    };

    重新起动BIND服务以使修改生效.

* 如果您必需提供递归查询服务, 您可以在网关设备或边界防火墙上过滤对DNS服务器
  TCP/53端口的访问.

  根据ISS X-Force小组的分析, 目前已知的攻击方法是通过发送TCP报文来实现的.
  除了发送很大的DNS报文或者是在主/从DNS服务器间进行域传输的情况, 基本使用
  UDP进行传输就足够了. 因此如果您无法立刻安装补丁又无法关闭递归查询, 您可以
  通过过滤TCP/53端口来减小受到攻击的可能性.

  注意这只能减少但不能完全消除受到攻击的可能性.

* 升级到BIND 9, 例如BIND 9.2.1:
  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

厂商补丁：

ISC
---
ISC将在BIND 8.3.4中修复这一漏洞。但到目前为止ISC尚未发布这些新的软件包。

您可以关注ISC关于BIND的安全主页获取最新软件和补丁。
http://www.isc.org/products/BIND/bind-security.html