Bind DNS软件受到漏洞严重影响 该漏洞可用于拒绝服务DoS攻击

  • A+
所属分类:网络安全新闻

BIND DNS软件受到严重漏洞的影响,该漏洞可用于拒绝服务(DoS)攻击。

Bind DNS软件受到漏洞严重影响 该漏洞可用于拒绝服务DoS攻击

这个由剑桥大学的托尼芬奇发现并被追踪为CVE-2018-5740的漏洞可以被远程利用,并且它的CVSS评分为7.5,这使得它“严重程度高”。

但是,该漏洞仅影响已启用名为“拒绝答案别名”功能的服务器。默认情况下禁用该功能。

“deny-answer-aliases”功能旨在帮助递归服务器运营商保护用户免受DNS重新绑定攻击。这些类型的攻击允许远程黑客滥用目标用户的Web浏览器直接与本地网络上的设备通信,并利用他们可能存在的任何缺陷。

“这个缺陷被有意或无意触发会导致一个名为坚持断言失败,造成指定的进程停止执行,并导致拒绝服务给客户,” ISC在其写的咨询。

安全漏洞影响BIND版本9.7.0至9.8.8,9.9.0至9.9.13,9.10.0至9.10.8,9.11.0至9.11.4,9.12.0至9.12.2和9.13.0通过9.13.2。补丁包含在版本9.9.13-P1,9.10.8-P1,9.11.4-P1和9.12.2-P1中。作为一种解决方法,ISC建议禁用有问题的功能(如果已使用)。

“大多数运营商不需要进行任何更改,除非他们使用'拒绝答案别名'功能。'deny-answer-aliases'默认是关闭的; 只有明确启用它的配置才会受到此缺陷的影响,“ISC说。

该组织表示,它不知道此漏洞被用于恶意目的的任何情况。2018年8月9日,潜在受影响的用户被提前通知了该漏洞。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!