Er zijn kritieke kwetsbaarheden worden vaak ingezet in de aanval scenario's, variërend van denial-of-service om malware infiltratie gevallen. Een ernstige kwetsbaarheid werd onlangs gepatcht, het soort dat een aanvaller toelaten een denial-of-service via de Berkeley Internet Name Domain uit te voeren (BINDEN) exploits. De kwetsbaarheid in kwestie is bekend onder CVE-2016-2776, en werd ontdekt tijdens interne tests door de ISC.
Wat is BIND?
BINDEN is open source software die het Domain Name System implementeert (DNS) protocollen voor het internet. Het is een referentie-implementatie van deze protocollen, maar het is ook de productie-grade software, geschikt voor gebruik in high-volume en high-betrouwbaarheidstoepassingen. De naam BIND staat voor “Berkeley Internet Name Domain”, omdat de software is ontstaan in de vroege jaren 1980 aan de Universiteit van Californië in Berkeley.
Bovendien, BIND is ook bekend als de standaard voor Linux en andere Unix-gebaseerde systemen. Dit betekent dat een fout van een groot aantal servers en applicaties van invloed kan zijn. Zoals reeds gezegd, de kwetsbaarheid BIND kan worden ingezet in DoS-aanvallen waarbij verschillende organisaties kunnen worden gericht. De aanvallen kunnen leiden tot het uitschakelen, afsluiten, of onderbreken van een dienst, netwerk, of website.
onderzoekers zeggen dat actieve aanvallen werden gemeld oktober 5, kort na een proof-of-concept werd uitgebracht op oktober 1. Bovendien, de gebreken van invloed BIND9 versies, inclusief 9.9.9-P3, 9.10.x vóór 9.10.4-P3, en 9.11.x vóór 9.11.0rc3.
Meer over CVE-2016-2776
Het beveiligingslek kan worden geactiveerd wanneer een DNS-server een antwoord op een vervalste vraag waar de respons grootte kruist de standaard DNS-antwoord formaat construeert (512). Blijkbaar, ISC al vast twee kwetsbare functies (dns_message_renderbegin () en dns_message_rendersection() ) de zwak punt.
Zoals door TrendMicro, wanneer een DNS-server construeert een respons voor een DNS-query, behoudt de ruimte in de antwoordbuffer (dat 512 in omvang, standaard), het zal de msg-> gereserveerd die nodig zijn voor antwoord RR grootte verhogen. De omvang voegt ook in msg-> voorbehouden size, die hetzelfde zou zijn als de reactie buffer andere Records Resource.
voordat het patchen, de server niet vast 12-byte DNS-headers in overweging te nemen, die ook bijdraagt aan de respons verkeer na waardoor de DNS-records van Query through functie dns_message_rendersection(). Dus als de DNS-antwoord(r.length) het verkeer is minder dan 512 bytes (msg-> voorbehouden), retourneert de functie true, maar het toevoegen van de vaste 12-byte header dienst veroorzaken te beëindigen wanneer de vaste gereserveerde grootte van overschrijdt 512 bytes.
De pleister maakt servers DNS koplengte van de totale respons lengte afnemen 12 bytes. Dan vergelijkt het met de gereserveerde buffergrootte juiste berekeningen reactie maat verschaffen.
beschikbare updates:
- BINDEN 9 versie 9.9.9-P3
- BINDEN 9 versie 9.10.4-P3
- BINDEN 9 versie 9.11.0rc3
- BINDEN 9 versie 9.9.9-S5