2月14日讯 互联网系统协会(Internet Systems Consortium，ISC)近期修复了BIND域名系统中存在的DoS漏洞 — CVE-2017-3135。
 

　　BIND是一款开源DNS服务器软件，由美国加州大学伯克利分校开发并维护，全名为Berkeley Internet Name Domain(BIND), 它是目前世界上使用最为广泛的DNS服务器软件，支持各种unix平台和windows平台

　　Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik报告了该漏洞。

　　CVE-2017-3135影响了BIND 9.8.8，自9.9.3之后的所有9.9版本，所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修复了该漏洞。

　　该漏洞被列为“高危漏洞”(通用安全漏洞评分系统CVSS评分7.5)，在服务器使用特定配置的情况下，可被远程利用。

　　ISC发布公告指出，“同时使用DNS64(配合NAT64实现IPv4-IPv6互访的关键部件，主要功能是合成AAAA记录和维护AAAA记录)和RPZ的某些配置时，可能导致INSIST断言失败(Assertion Failure)或读取NULL 指针。当同时使用DNS64和RPZ(Response Policy Zones：响应策略区)重写查询响应时，查询响应可能不一致，从而导致INSIST断言失败，或尝试NULL指针读取”。

　　只有同时使用DNS64和RPZ的服务器存在潜在威胁。

　　ISC补充道，如果这种情况发生，将会导致INSIST断言失败(随后中止)或尝试读取NULL指针。在大多数平台上，NULL指针读取会导致分段错误(SEGFAULT)，从而导致进程终止。

　　ISC在公告中建议，从配置中移除DNS64和RPZ，或限制RPZ的内容。最安全的方式还是升级到最新版本。

　　2017年1月，ISC发布升级版本解决BIND中存在的四大高危漏洞(CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444)。这些漏洞如果被远程攻击者利用，会导致拒绝服务(DoS)。

　　攻击者可以利用这些漏洞使BIND命名服务器进程出现断言失败，或停止执行进程。

(责任编辑：宋编辑)