发布日期：2002-11-12
更新日期：2002-11-13

受影响系统：

ISC BIND 8.3.3
ISC BIND 8.3.2
ISC BIND 8.3.1
ISC BIND 8.3
    - Linux系统  
    - Unix系统

描述：

---

BUGTRAQ  ID: 6161
CVE(CAN) ID: CVE-2002-1220

BIND是一个应用非常广泛的DNS协议的实现，由ISC(Internet Software Consortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。

允许递归查询的BIND 8服务器可能会由于一个assertion失效导致意外中止。当客户端请求一个有效域名下的无效子域名时，如果该DNS请求带有超大UDP载荷长度的OPT资源记录，BIND 8在构造NXDOMAIN回复时会触发一个assertion，从而中止服务。攻击者也可以通过查询哪些权威DNS服务器不可到达的那些域名来造成这种拒绝服务攻击。

<*来源：ISS X-Force （xforce@iss.net）
  
  链接：http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
*>

建议：

---

临时解决方法：

* 如果您并不需要提供递归查询, 您可以关闭之. 在大多数情况下, 递归查询都是可
  以关闭的，具体方法可参考如下步骤:

  打开BIND配置文件named.conf(例如/etc/named.conf)，在options栏中增加下列行:

  recursion no;

  例如:

  options {
      ...
      recursion no;
      ...
  };

  重新起动BIND服务以使修改生效。

* 升级到BIND 9, 例如BIND 9.2.1:
  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

厂商补丁：

ISC
---
ISC已经在BIND 4.9.11, 8.2.7, 8.3.4中修复了这一漏洞。如果您只想安装补丁修补当前BIND系统，可访问如下链接获取补丁文件:

http://www.isc.org/products/BIND/bind-security.html

浏览次数：7249
严重程度：2（网友投票）