ISC BIND SIG缓存资源记录远程缓冲区溢出漏洞(CVE-2002-1219)

BIND是一个应用非常广泛的DNS协议的实现，由ISC(Internet Software Consortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。

 

BIND 4和BIND 8中存在一个缓冲区溢出漏洞可能导致远程入侵有问题的DNS服务器。如果攻击者控制了任意一台权威DNS服务器, 就可以让BIND在其内部数据库中缓存DNS信息(如果递归被允许)。缺省递归是被允许的，除非通过命令行参数或在BIND配置文件中被禁止。当BIND在创建包含SIG资源记录(RR)的DNS回复报文时会发生缓冲区溢出，从而造成任意代码被以DNS服务器运行权限执行。

 

要实施攻击，要求攻击者控制一台有效的权威DNS服务器，同时被攻击的BIND服务器要允许递归查询。

 

 

 

 

解决方法

临时解决方法：

 

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

 

* 如果您并不需要提供递归查询, 您可以关闭之. 在大多数情况下, 递归查询都是

可以关闭的.

 

  具体方法可参考如下步骤：

 

    <1> BIND 8系列

 

    打开BIND配置文件named.conf(例如/etc/named.conf)

 

    在options栏中增加下列行:

    recursion no;

 

    例如:

    options {

        ...

        recursion no;

        ...

    };

 

    <2> BIND 4系列

 

    打开BIND配置文件named.boot

 

    增加下列行:

    options no-recursion

    

    重新起动BIND服务以使修改生效.

 

* 如果您必需提供递归查询服务, 您可以在网关设备或边界防火墙上过滤对DNS服务器

  TCP/53端口的访问.

 

  根据ISS X-Force小组的分析, 目前已知的攻击方法是通过发送TCP报文来实现的. 

  除了发送很大的DNS报文或者是在主/从DNS服务器间进行域传输的情况, 基本使用

  UDP进行传输就足够了. 因此如果您无法立刻安装补丁又无法关闭递归查询, 您可以

  通过过滤TCP/53端口来减小受到攻击的可能性.

 

  注意这只能减少但不能完全消除受到攻击的可能性.

 

* 升级到BIND 9, 例如BIND 9.2.1:

  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

 

厂商补丁：

 

ISC

---

ISC已经提供的BIND 4.9.11, 8.2.7, 8.3.4中修复了这一漏洞。如果您只想安装补丁修补当前BIND系统，可访问如下链接获取补丁文件:

 

http://www.isc.org/products/BIND/bind-security.html