根据中国互联网络信息中心(CNNIC)报告,域名系统软件BIND的 9.6-ESV-R3 及之前版本存在漏洞,在.com的DS记录在根区发布后,将对递归服务器的.com域名解析产生影响。
一、 漏洞分析
域名注册服务商Verisign运行的.com域名DS记录于3月31日提交根区发布。根据ISC(Internet Systems Consortium,互联网系统联盟)官网公布的信息,在.com的DS记录在根区发布后,Bind漏洞会在以下条件满足时导致递归服务器对.com域名的解析产生错误:
1. 递归解析服务器使用BIND软件的 9.6-ESV-R3 及之前版本;
2. 递归解析服务器开启DNSSEC验证功能。
该漏洞存在于BIND软件的9.6-ESV-R3 及之前版本,而9.6.3, 9.7.3和9.8.0 版本不受影响。目前ISC已将 BIND 9.6.3 重新打包为BIND 9.6-ESV-R4,并在北京时间3月29日发布。
漏洞影响递归服务器对.com域名的普通查询(非DNSSEC,即查询的CD位=0),查询结果可能返回SERVFAIL应答,根据相关测试,出现错误的比例约为50%。但该漏洞对于.com域名的DNSSEC查询(即查询的CD位=1)没有影响。
BIND软件缺省配置开启DNSSEC验证功能,由于大多数DNS查询为非DNSSEC查询,因此该漏洞对国内使用BIND软件提供的递归解析服务造成较严重影响。
二、 处置建议
对于目前国内使用相关BIND软件版本,且开启DNSSEC验证功能的递归服务器,建议根据ISC的官方建议进行处置,总结如下:
1. 升级所使用BIND软件至不受漏洞影响的版本;
2. 如目前无法进行软件升级,建议暂时关闭DNSSEC验证功能;
3. 如果软件没有升级且服务已经受到漏洞影响,建议使用命令“rndc flushname com”, 或者通过重启服务器解决。
参考信息:
http://www.verisignlabs.com/documents/BIND-DS-Servfail.pdf
http://www.isc.org/announcement/operational-advisory-bind-96-esv-r3-and-previous
http://www.cnvd.org.cn/notifications/146
关键词:BIND 9 漏洞