isc bind sig缓存资源记录远程缓冲区溢出漏洞

《isc bind sig缓存资源记录远程缓冲区溢出漏洞》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、ISCBINDSIG缓存资源记录远程缓冲区溢出漏洞日期：2002-12-02发布日期：2002-11-12更新日期：2002-11-13受影响系统：ISCBIND8.3.3ISCBIND8.3.2ISCBIND8.3.1ISCBIND8.3ISCBIND8.2.3ISCBIND8.2.2ISCBIND8.2.1ISCBIND8.2ISCBIND8.1.2ISCBIND8.1.1ISCBIND8.1ISCBIND4.9.9ISCBIND4.9.8ISCBIND4.9.7ISCBIND4.9.6ISCBIND4.9.5ISCBIND4.9.4ISCBIND4.9.3ISCBIND4.9

2、.10ISCBIND4.9    -Linux系统      -Unix系统描述：--------------------------------------------------------------------------------BUGTRAQ  ID:6160CVE(CAN)ID:CAN-2002-1219BIND是一个应用非常广泛的DNS协议的实现，由ISC(InternetSoftwareConsortium)负责维护，具体的开发由Nominum(www.nominum.com)公司来完成。BIND4和BIND8中存在一个缓冲区溢出漏洞可能导致远程入侵有问题的DN

3、S服务器。如果攻击者控制了任意一台权威DNS服务器,就可以让BIND在其内部数据库中缓存DNS信息(如果递归被允许)。缺省递归是被允许的，除非通过命令行参数或在BIND配置文件中被禁止。当BIND在创建包含SIG资源记录(RR)的DNS回复报文时会发生缓冲区溢出，从而造成任意代码被以DNS服务器运行权限执行。要实施攻击，要求攻击者控制一台有效的权威DNS服务器，同时被攻击的BIND服务器要允许递归查询。<*来源：ISSX-Force（xforce@iss.net）    链接：http://bvlive01.iss.net/issEn/delivery/xforce/alertde

4、tail.jsp?oid=21469*>建议：--------------------------------------------------------------------------------临时解决方法：如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：*如果您并不需要提供递归查询,您可以关闭之.在大多数情况下,递归查询都是可以关闭的.  具体方法可参考如下步骤：    <1>BIND8系列    打开BIND配置文件named.conf(例如/etc/named.conf)    在options栏中增加下列行:    recursion

5、no;    例如:    options{        ...        recursionno;        ...    };    <2>BIND4系列    打开BIND配置文件named.boot    增加下列行:    optionsno-recursion        重新起动BIND服务以使修改生效.*如果您必需提供递归查询服务,您可以在网关设备或边界防火墙上过滤对DNS服务器  TCP/53端口的访问.  根据ISSX-Force小组的分析,目前已知的攻击方法是通过发送TCP报文来实现的.  除了发送很大的DNS报文或者是在主/从DNS服务器间进行域

6、传输的情况,基本使用  UDP进行传输就足够了.因此如果您无法立刻安装补丁又无法关闭递归查询,您可以  通过过滤TCP/53端口来减小受到攻击的可能性.  注意这只能减少但不能完全消除受到攻击的可能性.*升级到BIND9,例如BIND9.2.1:  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz厂商补丁：ISC---ISC已经提供的BIND4.9.11,8.2.7,8.3.4中修复了这一漏洞。如果您只想安装补丁修补当前BIND系统，可访问如下链接获取补丁文件:http://www.isc.org/products/BIND/b

7、ind-security.html