ISC BIND SIG缓存资源记录远程缓冲区溢出漏洞

漏洞信息详情

ISC BIND SIG缓存资源记录远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200211-055
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1219
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-11-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  openbsd
• 漏洞来源：
  ISS X-Force※ xforc…

BIND是一个应用非常广泛的DNS协议的实现，由ISC(Internet Software Consortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。
BIND 4和BIND 8中存在一个缓冲区溢出漏洞可能导致远程入侵有问题的DNS服务器。如果攻击者控制了任意一台权威DNS服务器， 就可以让BIND在其内部数据库中缓存DNS信息(如果递归被允许)。缺省递归是被允许的，除非通过命令行参数或在BIND配置文件中被禁止。当BIND在创建包含SIG资源记录(RR)的DNS回复报文时会发生缓冲区溢出，从而造成任意代码被以DNS服务器运行权限执行。
要实施攻击，要求攻击者控制一台有效的权威DNS服务器，同时被攻击的BIND服务器要允许递归查询。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 如果您并不需要提供递归查询, 您可以关闭之. 在大多数情况下, 递归查询都是

可以关闭的.

具体方法可参考如下步骤：

<1> BIND 8系列

打开BIND配置文件named.conf(例如/etc/named.conf)

在options栏中增加下列行:

recursion no;

例如:

options {

…

recursion no;

…

};

<2> BIND 4系列

打开BIND配置文件named.boot

增加下列行:

options no-recursion

重新起动BIND服务以使修改生效.

* 如果您必需提供递归查询服务, 您可以在网关设备或边界防火墙上过滤对DNS服务器

TCP/53端口的访问.

根据ISS X-Force小组的分析, 目前已知的攻击方法是通过发送TCP报文来实现的.

除了发送很大的DNS报文或者是在主/从DNS服务器间进行域传输的情况, 基本使用

UDP进行传输就足够了. 因此如果您无法立刻安装补丁又无法关闭递归查询, 您可以

通过过滤TCP/53端口来减小受到攻击的可能性.

注意这只能减少但不能完全消除受到攻击的可能性.

* 升级到BIND 9, 例如BIND 9.2.1:

ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz
厂商补丁：
ISC
—
ISC已经提供的BIND 4.9.11, 8.2.7, 8.3.4中修复了这一漏洞。如果您只想安装补丁修补当前BIND系统，可访问如下链接获取补丁文件:

http://www.isc.org/products/BIND/bind-security.html” target=”_blank”>
http://www.isc.org/products/BIND/bind-security.html

来源:US-CERT Vulnerability Note: VU#852283
名称: VU#852283
链接:http://www.kb.cert.org/vuls/id/852283

来源:CERT/CC Advisory: CA-2002-31
名称: CA-2002-31
链接:http://www.cert.org/advisories/CA-2002-31.html

来源: www.isc.org
链接:http://www.isc.org/products/BIND/bind-security.html

来源: BUGTRAQ
名称: 20021112 [Fwd: Notice of serious vulnerabilities in ISC BIND 4 & 8]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103713117612842&w=2

来源: ISS
名称: 20021112 Multiple Remote Vulnerabilities in BIND4 and BIND8
链接:http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469

来源: sunsolve.sun.com
链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F48818

来源: XF
名称: bind-sig-rr-bo(10304)
链接:http://xforce.iss.net/xforce/xfdb/10304

来源: BID
名称: 6160
链接:http://www.securityfocus.com/bid/6160

来源: MANDRAKE
名称: MDKSA-2002:077
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-077.php

来源: DEBIAN
名称: DSA-196
链接:http://www.debian.org/security/2002/dsa-196

来源: CIAC
名称: N-013
链接:http://www.ciac.org/ciac/bulletins/n-013.shtml

来源: BUGTRAQ
名称: 20021115 [OpenPKG-SA-2002.011] OpenPKG Security Advisory (bind, bind8)
链接:http://online.securityfocus.com/archive/1/300019

来源: COMPAQ
名称: SSRT2408
链接:http://online.securityfocus.com/advisories/4999

来源: BUGTRAQ
名称: 20021118 TSLSA-2002-0076 – bind
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103763574715133&w=2

来源: APPLE
名称: 2002-11-21
链接:http://lists.apple.com/archives/Security-announce/2002/Nov/msg00000.html

来源: CONECTIVA
名称: CLA-2002:546
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000546

来源: SGI
名称: 20021201-01-P
链接:ftp://patches.sgi.com/support/free/security/advisories/20021201-01-P

来源: US Government Resource: oval:org.mitre.oval:def:2539
名称: oval:org.mitre.oval:def:2539
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2539