公告ID(KYSA-202208-1244)
公告ID:KYSA-202208-1244
公告摘要:bind安全漏洞
等級:Important
發(fā)布日期:2022-08-23
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2012-3817
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.4.x版本�,9.5.x版本����,9.6.x版本�,9.7.6-P2之前的9.7.x版本�、9.8.3-P2之前的9.8.x版本、9.9.1-P2之前的9.9.x版本和9.6-ESV-R7-P2之前的9.6-ESV版本中存在漏洞��,該漏洞源于啟用DNSSEC驗證時����,未正確初始化‘失敗查詢’緩存。遠(yuǎn)程攻擊者可利用該漏洞通過發(fā)送許多查詢導(dǎo)致拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)��。
·CVE-2012-4244
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.7.6-P3之前的9.x版本��、9.8.3-P3之前的9.8.x版本���、9.9.1-P3之前的9.9.x版本�、9.4-ESV版本��、9.6-ESV-R7-P3之前的9.6-ESV版本中存在漏洞��。遠(yuǎn)程攻擊者可利用該漏洞通過較長資源記錄的查詢��,導(dǎo)致拒絕服務(wù)(聲明失敗和命名守護(hù)進(jìn)程退出)�。
·CVE-2012-5166
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.7.6-P4之前的9.x版本����、9.8.3-P4之前的9.8.x版本、9.9.1-P4之前的9.9.x版本��、9.4-ESV和9.6-ESV-R7-P4之前的9.6-ESV版本中存在漏洞�。遠(yuǎn)程攻擊者可利用該漏洞通過非指定的資源記錄的合并,導(dǎo)致拒絕服務(wù)(命名守護(hù)進(jìn)程掛起)��。
·CVE-2012-5688
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件�����。ISC BIND 9.8.4-P1之前的9.8.x版本和9.9.2-P1之前的 9.9.x版本中存在漏洞。當(dāng)DNS64啟用時�����,通過特制的查詢�,遠(yuǎn)程攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)。
·CVE-2012-5689
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.8.x至9.8.4-P1版本和9.9.x至9.9.2-P1版本中存在漏洞,該漏洞源于在某些配置中所使用的DNS64的響應(yīng)政策區(qū)缺少AAAA重寫規(guī)則����。通過查詢AAA記錄,遠(yuǎn)程攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)(斷言失敗和命名守護(hù)進(jìn)程退出)����。
·CVE-2013-2266
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。UNIX平臺上的ISC BIND 9.7.x版本,9.8.4-P2之前的9.8.x版本�����,9.8.5b29.8.4-P2之前的9.8.5版本,9.9.2-P29.8.4-P2之前的9.9.x版本���,9.9.3b29.8.4-P2之前的9.9.3版本中的libdns中存在漏洞�����。通過特制的正則表達(dá)式����,遠(yuǎn)程攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)(內(nèi)存消耗)�����。對一臺運(yùn)行named進(jìn)程的機(jī)器發(fā)起內(nèi)存耗盡攻擊可證實(shí)此漏洞的存在��。
·CVE-2013-4854
描述:ISC BIND和DNSco BIND都是美國Internet Systems Consortium(ISC)公司的產(chǎn)品���。ISC BIND是一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。DNSco BIND是一套用于支持和保護(hù)在企業(yè)中安裝ISC BIND軟件的解決方案,該解決方案可提供安裝支持和專業(yè)知識指南�����。ISC BIND和DNSco BIND中的rdata.c文件中的RFC 5011實(shí)現(xiàn)中存在漏洞,該漏洞源于程序在構(gòu)建日志信息期間沒有正確地處理RDATA段�����,遠(yuǎn)程攻擊者可通過特制的帶有畸形RDATA段的查詢利用該漏洞造成拒絕服務(wù)(守護(hù)程序崩潰)���。以下版本中受到影響:ISC BIND 9.7.0至9.7.7版本和9.8.0至9.8.5-P1版本��,9.9.0至9.9.3-P1版本�,9.8.6b1和9.9.4b1版本和DNSco BIND 9.9.3-S1和9.9.4-S1b1版本���。
·CVE-2014-0591
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND中的query.c文件中的‘query_findclosestnsec3’函數(shù)中存在緩沖區(qū)溢出漏洞。遠(yuǎn)程攻擊者可通過對使用NSEC3簽名功能的授權(quán)域名服務(wù)器構(gòu)造特制的DNS查詢利用該漏洞造成拒絕服務(wù)(INSIST聲明失敗和守護(hù)進(jìn)程退出)����。以下版本存在漏洞:ISC BIND 9.6,9.7���,9.8.6-P2之前的9.8版本�,9.9.4-P2之前的9.9版本�����,9.6-ESV-R10-P2之前的9.6-ESV版本�����。
·CVE-2014-8500
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND中存在安全漏洞,該漏洞源于程序沒有限制授權(quán)鏈�����。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(內(nèi)存消耗)�。以下版本受到影響:ISC BIND 9.0.x至9.8.x版本,9.9.0至9.9.6版本��,9.10.0至9.10.1版本���。
·CVE-2015-1349
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND 9.7.0版本至9.9.6-P1版本和9.10.1-P2之前9.10.x版本的named進(jìn)程中存在安全漏洞����,該漏洞源于程序沒有正確處理Trust Anchor Management����。當(dāng)程序啟用DNSSEC驗證和managed-keys功能時,遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(斷言失敗���,守護(hù)進(jìn)程退出��,或守護(hù)進(jìn)程崩潰)��。
·CVE-2015-4620
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND 9.7.1版本至9.9.7版本和9.10.0版本至9.10.2-P1版本的named中的name.c文件存在安全漏洞���。當(dāng)遞歸解析器執(zhí)行DNSSEC驗證時��,遠(yuǎn)程攻擊者可通過構(gòu)造特制的zone數(shù)據(jù)���,并使驗證解析器查詢該數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(REQUIRE斷言失敗和守護(hù)進(jìn)程退出)。
·CVE-2015-5477
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.9.7-P1及之前版本和9.10.2-P2及之前版本的named中存在安全漏洞���。遠(yuǎn)程攻擊者可借助TKEY查詢利用該漏洞造成拒絕服務(wù)(REQUIRE斷言失敗和守護(hù)進(jìn)程退出)�����。
·CVE-2015-5722
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND 9.9.7-P3之前9.x版本和9.10.2-P4之前9.10.x版本的named中的buffer.c文件中存在安全漏洞����。遠(yuǎn)程攻擊者可通過創(chuàng)建包含畸形DNSSEC密鑰的區(qū)域利用該漏洞造成拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)��。
·CVE-2015-8000
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND 9.9.8-P2之前9.x版本和9.10.3-P2之前9.10.x版本的named中的db.c文件存在安全漏洞。遠(yuǎn)程攻擊者可借助畸形的類屬性利用該漏洞造成拒絕服務(wù)(REQUIRE斷言失敗和守護(hù)進(jìn)程退出)���。
·CVE-2015-8704
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND的apl_42.c文件中存在安全漏洞。遠(yuǎn)程攻擊者可借助畸形的Address Prefix List(APL)記錄利用該漏洞造成拒絕服務(wù)(INSIST斷言失敗和守護(hù)進(jìn)程退出)�����。以下版本受到影響:ISC BIND 9.9.8-P3之前9.x版本,9.10.3-P3之前9.9.x版本和9.10.x版本��。
·CVE-2016-1285
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND 9.9.8-P4之前9.x版本和9.10.3-P4之前9.10.x版本的named中存在安全漏洞。遠(yuǎn)程攻擊者可通過向rndc接口發(fā)送畸形的數(shù)據(jù)包利用該漏洞造成拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)�����。
·CVE-2016-1286
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND 9.9.8-P4之前9.x版本和9.10.3-P4之前9.10.x版本的named中存在安全漏洞�����。遠(yuǎn)程攻擊者可借助DNAME記錄的特制的簽名記錄利用該漏洞造成拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)����。
·CVE-2016-2776
描述:在BIND構(gòu)造對滿足特定條件的查詢的響應(yīng)的方式中發(fā)現(xiàn)了拒絕服務(wù)缺陷�。遠(yuǎn)程攻擊者可能會利用此缺陷,通過特制的DNS請求數(shù)據(jù)包�����,使聲明出口意外斷言失敗。
·CVE-2016-2848
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護(hù)的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.1.0至9.8.4-P2版本和9.9.0至9.9.2-P2版本中存在安全漏洞。遠(yuǎn)程攻擊者可借助OPT資源記錄中畸形的選項數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(斷言失敗和守護(hù)進(jìn)程退出)�。
·CVE-2017-3139
描述:ISC BIND是美國ISC公司的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND中存在遠(yuǎn)程拒絕服務(wù)漏洞�。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)�。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
·x86_64架構(gòu):
bind、bind-chroot�、bind-devel、bind-libs�����、bind-sdb�、bind-utils
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 (x86_64)
bind-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-chroot-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-devel-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-libs-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-sdb-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-utils-9.8.2-0.62.rc1.el6_9.4或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件,根據(jù)倉庫地址進(jìn)行修改���。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級�����,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包�����,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2012-3817:需要重啟 bind 以使漏洞修復(fù)生效��。
CVE-2012-4244:需要重啟 bind 以使漏洞修復(fù)生效����。
CVE-2012-5166:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2012-5688:需要重啟 bind 以使漏洞修復(fù)生效�����。
CVE-2012-5689:需要重啟 bind 以使漏洞修復(fù)生效����。
CVE-2013-2266:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2013-4854:需要重啟 bind 以使漏洞修復(fù)生效�。
CVE-2014-0591:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2014-8500:需要重啟 bind 以使漏洞修復(fù)生效�����。
CVE-2015-1349:需要重啟 bind 以使漏洞修復(fù)生效���。
CVE-2015-4620:需要重啟 bind 以使漏洞修復(fù)生效����。
CVE-2015-5477:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2015-5722:需要重啟 bind 以使漏洞修復(fù)生效����。
CVE-2015-8000:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2015-8704:需要重啟 bind 以使漏洞修復(fù)生效���。
CVE-2016-1285:需要重啟 bind 以使漏洞修復(fù)生效�����。
CVE-2016-1286:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2016-2776:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2016-2848:需要重啟 bind 以使漏洞修復(fù)生效。
CVE-2017-3139:需要重啟 bind 以使漏洞修復(fù)生效���。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
bind(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-chroot-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-devel-9.8.2-0.62.rc1.el6_9.4.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-devel-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-libs-9.8.2-0.62.rc1.el6_9.4.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-libs-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-sdb-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-utils-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗證
使用軟件包查詢命令��,查看相關(guān)軟件包版本是否與修復(fù)版本一致���,如果版本一致,則說明修復(fù)成功�����。
sudo rpm -qa | grep Packagename
安全漏洞補(bǔ)丁公告
