改变历史的偶然事件
目录:
广泛使用的BIND DNS(域名系统)软件存在漏洞,远程攻击者可利用该漏洞使DNS服务器崩溃并影响操作的其他程序运行在同一台机器上
这个缺陷来自正则表达式由BIND软件发行版的一部分libdns库处理的方式。根据Internet Systems Consortium(ISC)周二发布的安全公告,类UNIX系统的BIND版本9.7.x,9.8.0到9.8.5b1和9.9.0到9.9.3b1是非常脆弱的,非盈利公司开发和维护软件。 BIND的Windows版本不受影响。
BIND是互联网上使用最广泛的DNS服务器软件。它是许多类UNIX系统的事实上的标准DNS软件,包括Linux,Solaris,各种BSD变体和Mac OS X.
[更多阅读:如何从Windows PC删除恶意软件]攻击可能会崩溃服务器
通过向易受攻击的BIND安装发送专门制作的请求,可能会导致DNS服务器进程(名为守护进程,称为“named”)消耗过多的内存资源,从而利用此漏洞。这可能导致DNS服务器进程崩溃,并严重影响其他程序的运行。“ISC称,”故意利用这种情况可能会导致运行受影响版本的所有权威和递归名称服务器拒绝服务。该组织认为该漏洞至关重要。 (另请参阅“4种准备和抵御DDoS攻击的方法”。)
ISC建议的一种解决方法是在不支持正则表达式的情况下编译BIND,其中包括使用提供的指令手动编辑“config.h”文件在咨询。这样做的影响在单独的ISC文章中进行了解释,该文章还回答了有关该漏洞的其他常见问题。
该组织还发布了禁用正则表达式支持的BIND版本9.8.4-P2和9.9.2-P2默认。 ISD表示,BIND 9.7.x不再受支持,并且不会收到更新。
“ISD说:”BIND 10不受此漏洞的影响。 “然而,在本通报发布时,BIND 10并非”功能完备“,并且根据您的部署需求,可能不适合替代BIND 9。”
根据ISC,目前还没有已知的活动目前的攻势。然而,这可能很快就会改变。“一位名叫丹尼尔弗兰克的用户在发送给Full的消息中说,”我花了大约10分钟的时间才从第一次阅读ISC顾问报告到开发工作漏洞。周三披露安全邮件列表。 “除了将正则表达式或BIND区域文件作为代码计算之外,我甚至不必编写任何代码就可以实现它。在别人采取相同步骤之前可能不会很久,并且此漏洞开始在野生的。“
Franke指出,这个错误会影响”接受来自不受信任来源的区域传输“的BIND服务器。然而,ISC质量保证经理Jeff Wright周四在回复Franke的消息时说,这只是一种可能的利用情况,“ISC希望指出,Franke先生确定的载体不是唯一可能的,运行BIND受影响版本的未安装安装的* ANY *递归*或*权威域名服务器的运营商应该认为自己容易受到这个安全问题的影响,“Wright说。 “但是,我们希望表达对弗兰克先生评论的主要观点的同意,即对此漏洞利用所需的复杂性不高,建议立即采取行动以确保您的域名服务器不会受到威胁。”
据DDoS缓解厂商Arbor Networks的安全工程和响应团队主管Dan Holden说,考虑到BIND 9的广泛使用,这个漏洞可能是一个严重的威胁。攻击者可能会开始针对这个漏洞,因为最近几天媒体关注DNS,以及这种攻击的低复杂性,他周五通过电子邮件表示。
黑客瞄准易受攻击的服务器
一些安全公司本周早些时候表示,针对反垃圾邮件组织的最近发布的分布式拒绝服务(DDoS)攻击是历史上最大的,并且影响了关键的Internet基础设施。攻击者利用配置不当的DNS服务器来扩大攻击范围。“在针对DNS服务器并使用它们执行DNS放大等攻击方面,存在一个很好的界限,”Holden说。 “许多网络运营商认为他们的DNS基础设施很脆弱,他们通常会采取额外的措施来保护这些基础设施,其中一些会加剧这些问题。例如,在DNS基础设施之前部署内联IPS设备。用无状态检查来缓解这些攻击几乎是不可能的。“
”如果运营商依靠在线检测和缓解,很少有安全研究机构积极开发自己的概念验证代码,在此基础上进行缓解, “霍尔登说。 “因此,这些类型的设备在我们看到半公开的工作代码之前很少得到保护,这给攻击者提供了一个很好的抓住机会的窗口。”