公告ID(KYSA-202208-1244)
公告ID:KYSA-202208-1244
公告摘要:bind安全漏洞
等級:Important
發(fā)布日期:2022-08-23
詳細介紹
1.修復的CVE
·CVE-2012-3817
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.4.x版本���,9.5.x版本�,9.6.x版本�,9.7.6-P2之前的9.7.x版本、9.8.3-P2之前的9.8.x版本����、9.9.1-P2之前的9.9.x版本和9.6-ESV-R7-P2之前的9.6-ESV版本中存在漏洞,該漏洞源于啟用DNSSEC驗證時��,未正確初始化‘失敗查詢’緩存�。遠程攻擊者可利用該漏洞通過發(fā)送許多查詢導致拒絕服務(斷言失敗和守護進程退出)。
·CVE-2012-4244
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件�����。ISC BIND 9.7.6-P3之前的9.x版本�、9.8.3-P3之前的9.8.x版本、9.9.1-P3之前的9.9.x版本���、9.4-ESV版本���、9.6-ESV-R7-P3之前的9.6-ESV版本中存在漏洞。遠程攻擊者可利用該漏洞通過較長資源記錄的查詢,導致拒絕服務(聲明失敗和命名守護進程退出)���。
·CVE-2012-5166
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.7.6-P4之前的9.x版本�、9.8.3-P4之前的9.8.x版本、9.9.1-P4之前的9.9.x版本���、9.4-ESV和9.6-ESV-R7-P4之前的9.6-ESV版本中存在漏洞�。遠程攻擊者可利用該漏洞通過非指定的資源記錄的合并�����,導致拒絕服務(命名守護進程掛起)���。
·CVE-2012-5688
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件��。ISC BIND 9.8.4-P1之前的9.8.x版本和9.9.2-P1之前的 9.9.x版本中存在漏洞。當DNS64啟用時��,通過特制的查詢�,遠程攻擊者利用該漏洞導致拒絕服務(斷言失敗和守護進程退出)。
·CVE-2012-5689
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.8.x至9.8.4-P1版本和9.9.x至9.9.2-P1版本中存在漏洞���,該漏洞源于在某些配置中所使用的DNS64的響應政策區(qū)缺少AAAA重寫規(guī)則�。通過查詢AAA記錄��,遠程攻擊者利用該漏洞導致拒絕服務(斷言失敗和命名守護進程退出)�����。
·CVE-2013-2266
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件��。UNIX平臺上的ISC BIND 9.7.x版本�,9.8.4-P2之前的9.8.x版本,9.8.5b29.8.4-P2之前的9.8.5版本��,9.9.2-P29.8.4-P2之前的9.9.x版本�,9.9.3b29.8.4-P2之前的9.9.3版本中的libdns中存在漏洞。通過特制的正則表達式����,遠程攻擊者利用該漏洞導致拒絕服務(內(nèi)存消耗)。對一臺運行named進程的機器發(fā)起內(nèi)存耗盡攻擊可證實此漏洞的存在���。
·CVE-2013-4854
描述:ISC BIND和DNSco BIND都是美國Internet Systems Consortium(ISC)公司的產(chǎn)品���。ISC BIND是一套實現(xiàn)了DNS協(xié)議的開源軟件�。DNSco BIND是一套用于支持和保護在企業(yè)中安裝ISC BIND軟件的解決方案�,該解決方案可提供安裝支持和專業(yè)知識指南。ISC BIND和DNSco BIND中的rdata.c文件中的RFC 5011實現(xiàn)中存在漏洞��,該漏洞源于程序在構建日志信息期間沒有正確地處理RDATA段�����,遠程攻擊者可通過特制的帶有畸形RDATA段的查詢利用該漏洞造成拒絕服務(守護程序崩潰)��。以下版本中受到影響:ISC BIND 9.7.0至9.7.7版本和9.8.0至9.8.5-P1版本�����,9.9.0至9.9.3-P1版本�����,9.8.6b1和9.9.4b1版本和DNSco BIND 9.9.3-S1和9.9.4-S1b1版本��。
·CVE-2014-0591
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND中的query.c文件中的‘query_findclosestnsec3’函數(shù)中存在緩沖區(qū)溢出漏洞。遠程攻擊者可通過對使用NSEC3簽名功能的授權域名服務器構造特制的DNS查詢利用該漏洞造成拒絕服務(INSIST聲明失敗和守護進程退出)��。以下版本存在漏洞:ISC BIND 9.6���,9.7��,9.8.6-P2之前的9.8版本�����,9.9.4-P2之前的9.9版本���,9.6-ESV-R10-P2之前的9.6-ESV版本。
·CVE-2014-8500
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND中存在安全漏洞,該漏洞源于程序沒有限制授權鏈�。遠程攻擊者可利用該漏洞造成拒絕服務(內(nèi)存消耗)。以下版本受到影響:ISC BIND 9.0.x至9.8.x版本����,9.9.0至9.9.6版本,9.10.0至9.10.1版本��。
·CVE-2015-1349
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件���。ISC BIND 9.7.0版本至9.9.6-P1版本和9.10.1-P2之前9.10.x版本的named進程中存在安全漏洞���,該漏洞源于程序沒有正確處理Trust Anchor Management�����。當程序啟用DNSSEC驗證和managed-keys功能時���,遠程攻擊者可利用該漏洞造成拒絕服務(斷言失敗,守護進程退出����,或守護進程崩潰)。
·CVE-2015-4620
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND 9.7.1版本至9.9.7版本和9.10.0版本至9.10.2-P1版本的named中的name.c文件存在安全漏洞。當遞歸解析器執(zhí)行DNSSEC驗證時����,遠程攻擊者可通過構造特制的zone數(shù)據(jù),并使驗證解析器查詢該數(shù)據(jù)利用該漏洞造成拒絕服務(REQUIRE斷言失敗和守護進程退出)�。
·CVE-2015-5477
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.9.7-P1及之前版本和9.10.2-P2及之前版本的named中存在安全漏洞�����。遠程攻擊者可借助TKEY查詢利用該漏洞造成拒絕服務(REQUIRE斷言失敗和守護進程退出)。
·CVE-2015-5722
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND 9.9.7-P3之前9.x版本和9.10.2-P4之前9.10.x版本的named中的buffer.c文件中存在安全漏洞。遠程攻擊者可通過創(chuàng)建包含畸形DNSSEC密鑰的區(qū)域利用該漏洞造成拒絕服務(斷言失敗和守護進程退出)�。
·CVE-2015-8000
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.9.8-P2之前9.x版本和9.10.3-P2之前9.10.x版本的named中的db.c文件存在安全漏洞。遠程攻擊者可借助畸形的類屬性利用該漏洞造成拒絕服務(REQUIRE斷言失敗和守護進程退出)���。
·CVE-2015-8704
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件�。ISC BIND的apl_42.c文件中存在安全漏洞�����。遠程攻擊者可借助畸形的Address Prefix List(APL)記錄利用該漏洞造成拒絕服務(INSIST斷言失敗和守護進程退出)��。以下版本受到影響:ISC BIND 9.9.8-P3之前9.x版本�����,9.10.3-P3之前9.9.x版本和9.10.x版本�����。
·CVE-2016-1285
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND 9.9.8-P4之前9.x版本和9.10.3-P4之前9.10.x版本的named中存在安全漏洞���。遠程攻擊者可通過向rndc接口發(fā)送畸形的數(shù)據(jù)包利用該漏洞造成拒絕服務(斷言失敗和守護進程退出)��。
·CVE-2016-1286
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件��。ISC BIND 9.9.8-P4之前9.x版本和9.10.3-P4之前9.10.x版本的named中存在安全漏洞����。遠程攻擊者可借助DNAME記錄的特制的簽名記錄利用該漏洞造成拒絕服務(斷言失敗和守護進程退出)�。
·CVE-2016-2776
描述:在BIND構造對滿足特定條件的查詢的響應的方式中發(fā)現(xiàn)了拒絕服務缺陷。遠程攻擊者可能會利用此缺陷��,通過特制的DNS請求數(shù)據(jù)包�,使聲明出口意外斷言失敗。
·CVE-2016-2848
描述:ISC BIND是美國Internet Systems Consortium(ISC)公司所維護的一套實現(xiàn)了DNS協(xié)議的開源軟件����。ISC BIND 9.1.0至9.8.4-P2版本和9.9.0至9.9.2-P2版本中存在安全漏洞。遠程攻擊者可借助OPT資源記錄中畸形的選項數(shù)據(jù)利用該漏洞造成拒絕服務(斷言失敗和守護進程退出)�。
·CVE-2017-3139
描述:ISC BIND是美國ISC公司的一套實現(xiàn)了DNS協(xié)議的開源軟件。ISC BIND中存在遠程拒絕服務漏洞�。遠程攻擊者可利用該漏洞造成拒絕服務。
2.受影響的軟件包
·中標麒麟高級服務器操作系統(tǒng) V6
·x86_64架構:
bind、bind-chroot����、bind-devel、bind-libs����、bind-sdb、bind-utils
3.軟件包修復版本
·中標麒麟高級服務器操作系統(tǒng) V6 (x86_64)
bind-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-chroot-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-devel-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-libs-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-sdb-9.8.2-0.62.rc1.el6_9.4或以上版本
bind-utils-9.8.2-0.62.rc1.el6_9.4或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件�����,根據(jù)倉庫地址進行修改����。
倉庫源地址:
中標麒麟高級服務器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進行升級���,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包����,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務或操作系統(tǒng):
CVE-2012-3817:需要重啟 bind 以使漏洞修復生效�。
CVE-2012-4244:需要重啟 bind 以使漏洞修復生效。
CVE-2012-5166:需要重啟 bind 以使漏洞修復生效��。
CVE-2012-5688:需要重啟 bind 以使漏洞修復生效。
CVE-2012-5689:需要重啟 bind 以使漏洞修復生效�。
CVE-2013-2266:需要重啟 bind 以使漏洞修復生效。
CVE-2013-4854:需要重啟 bind 以使漏洞修復生效���。
CVE-2014-0591:需要重啟 bind 以使漏洞修復生效����。
CVE-2014-8500:需要重啟 bind 以使漏洞修復生效����。
CVE-2015-1349:需要重啟 bind 以使漏洞修復生效。
CVE-2015-4620:需要重啟 bind 以使漏洞修復生效����。
CVE-2015-5477:需要重啟 bind 以使漏洞修復生效。
CVE-2015-5722:需要重啟 bind 以使漏洞修復生效����。
CVE-2015-8000:需要重啟 bind 以使漏洞修復生效。
CVE-2015-8704:需要重啟 bind 以使漏洞修復生效�。
CVE-2016-1285:需要重啟 bind 以使漏洞修復生效。
CVE-2016-1286:需要重啟 bind 以使漏洞修復生效�����。
CVE-2016-2776:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。
CVE-2016-2848:需要重啟 bind 以使漏洞修復生效��。
CVE-2017-3139:需要重啟 bind 以使漏洞修復生效���。
5.軟件包下載地址
·中標麒麟高級服務器操作系統(tǒng) V6
bind(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-chroot-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-devel-9.8.2-0.62.rc1.el6_9.4.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-devel-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-libs-9.8.2-0.62.rc1.el6_9.4.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-libs-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-sdb-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/bind-utils-9.8.2-0.62.rc1.el6_9.4.x86_64.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令�����,查看相關軟件包版本是否與修復版本一致����,如果版本一致�����,則說明修復成功��。
sudo rpm -qa | grep Packagename
安全漏洞補丁公告
