E安全2月14日訊 互聯網系統協會（Internet Systems Consortium，ISC）近期修復了BIND域名系統中存在的DoS漏洞 — CVE-2017-3135。

BIND是一款開源DNS服務器軟件，由美國加州大學伯克利分校開發并維護，全名為Berkeley Internet Name Domain（BIND）, 它是目前世界上使用最為廣泛的DNS服務器軟件，支持各種unix平臺和windows平臺

Infoblox公司的Ramesh Damodaran和Aliaksandr Shubnik報告了該漏洞。

CVE-2017-3135影響了BIND 9.8.8，自9.9.3之后的所有9.9版本，所有9.10以及9.11版本。BIND9.9.9-P6、9.10.4-P6和9.11.0-P3版本修復了該漏洞。

該漏洞被列為“高危漏洞”（通用安全漏洞評分系統CVSS評分7.5），在服務器使用特定配置的情況下，可被遠程利用。

ISC發布公告指出，“同時使用DNS64（配合NAT64實現IPv4-IPv6互訪的關鍵部件，主要功能是合成AAAA記錄和維護AAAA記錄）和RPZ的某些配置時，可能導致INSIST斷言失敗（Assertion Failure）或讀取NULL 指針。當同時使用DNS64和RPZ（Response Policy Zones：響應策略區）重寫查詢響應時，查詢響應可能不一致，從而導致INSIST斷言失敗，或嘗試NULL指針讀取”。

只有同時使用DNS64和RPZ的服務器存在潛在威脅。

ISC補充道，如果這種情況發生，將會導致INSIST斷言失敗（隨后中止）或嘗試讀取NULL指針。在大多數平臺上，NULL指針讀取會導致分段錯誤（SEGFAULT），從而導致進程終止。

ISC在公告中建議，從配置中移除DNS64和RPZ，或限制RPZ的內容。最安全的方式還是升級到最新版本。

2017年1月，ISC發布升級版本解決BIND中存在的四大高危漏洞（CVE-2016-9778、CVE-2016-9147、CVE-2016-9131和CVE-2016-9444）。這些漏洞如果被遠程攻擊者利用，會導致拒絕服務（DoS）。

攻擊者可以利用這些漏洞使BIND命名服務器進程出現斷言失敗，或停止執行進程。