外媒 1 月 17 日消息，互联网系统联盟（ISC）于近期发布了针对 BIND 的安全更新，以解决可能导致 DNS 服务器崩溃的高危漏洞（ CVE-2017-3145 ），但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。

据 ISC 介绍， CVE-2017-3145 漏洞是由于一个 use-after-free （简称 UaF , 是一种内存数据破坏缺陷）的错误导致的：

BIND 对上游递归获取上下文的清理操作进行了不恰当的排序，从而在某些情况下出现了 use-after-free  错误，以至于触发断言失败和 DNS 服务器进程崩溃。

该漏洞可能影响到运行 DNSSEC 验证解析器的系统，因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法，目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。

这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中，但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此，虽然 BIND 的所有实例都应修补，但目前只有9.9.9-P8 ~ 9.9.11，9.10.4 ~ P8 ~ 9.10.6，9.11.0 ~ P5至9.11.2，9.9.9-S10 ~ 9.9.11-S1，9.10.5-S1到9.10.6-S1，以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。

除此之外，ISC 还披露了一个中等严重程度的 DHCP 缺陷，研究人员追踪其为 CVE-2017-3144 漏洞  ：

由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞，可能会导致 DHCP 服务器可用的套接字描述符池耗尽。

攻击者通过 CVE-2017-3144 漏洞，允许与 OMAPI 控制端口建立连接， 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽，服务器将不会接受其他连接，并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时，运营商可能被阻止使用 OMAPI 来控制服务器状态，添加新租约预留等。

虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15， 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本，但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁，可以禁止未经授权的客户访问 OMAPI 控制端口。

(责任编辑：冬天的宇)