DNS服务程序BIND存安全漏洞
2015-11-30郑先伟
文/郑先伟
DNS服务程序BIND存安全漏洞
文/郑先伟
CCERT月报
8月教育网运行平稳,未发现影响严重的安全事件。
由于仍在暑假期间,大部分的投诉事件数量有所减少,但是与网站安全有关的事件仍在高位数运行,这些网站的漏洞信息主要来源于目前比较红火的各类安全众测项目,这些项目依托众测平台及大量对安全感兴趣的人对各类网站目标进行的安全检测。由于安全爱好者里不乏在校的大学生,所以测试目标有很多都是高校的网站,也因此能检测出很多高校网站的漏洞。
近期没有新增影响范围广且危害严重的木马病毒。
近期新增严重漏洞评述
8月首先要关注的漏洞是微软8月的例行安全公告,此次公告共14个,其中4个为严重等级,10个为重要等级。这些公告修补了包括Windows系统、IE浏览器、Office软件、Silverlight、Edge、Lync、Server 软件和.NET Framework中存在的58个安全漏洞,用户应该尽快安装相应的补丁程序。相关公告及漏洞的详情可参见:https://technet.microsoft.com/zh-CN/library/ security/ms15-Aug。
Adobe公司8月的例行安全公告(APSB15-19)也需要关注,此次公告主要针对Flash player软件,公告修补了Flash Player软件中的8个安全漏洞,这些漏洞可能导致远程任意代码执行,用户应该尽快升级自己的Flash软件版本。漏洞的相关详情请参见:https://helpx.adobe. com/security/products/flash-player/apsb15-19.html。
本月需要特别关注的两个漏洞
1. ISC BIND TKEY 查询拒绝服务漏洞
TKEY是一种用于在两台主机之间自动生成共享密匙的机制。TKEY机制中有多种模式来指定如何生成和共享密匙。BIND9在程序中支持TKEY机制中的Diffie-Hellman密匙交换模式,但是程序在实现过程中存在缺陷。当用户向BIND9服务程序发送特定的TKEY查询时,可能引发程序的REQUIRE断言失败导致BIND9进程退出,从而造成拒绝服务攻击。BIND是目前互联网上使用最为广泛的DNS服务程序,此次漏洞影响几乎所有版本的BIND软件,并且漏洞的利用代码已经被公布并利用。ISC官方已经在最新版本(9.9.7-P2及9.10.2-P3)的BIND中修补了该漏洞,我们建议DNS服务器的管理员尽快升级相关程序的版本到最新。
2. IE浏览器0day漏洞(CVE-2015-2502)
Internet Explorer 7-11版本,没有正确访问内存对象,在实现上存在远程代码执行漏洞,攻击者利用此漏洞可在当前用户上下文中执行任意代码。由于漏洞正在被利用,微软在例行安全公告后被迫追加了对该漏洞的修补补丁,用户应该尽快更新自己的IE浏览器到最新版本。漏洞的详细信息可参见:http://technet.microsoft. com/security/bulletin/MS15-093。
2015年7月~8月安全投诉事件统计
安全提示
鉴于前文提到的BIND漏洞向外公布的日期正是学校的暑假期间,相关的管理员有可能没有及时获取漏洞信息及补丁程序,使得相关的DNS服务器存在安全风险。我们建议相关管理员尽快检查自己服务器上的BIND版本,如果低于9.9.7-P2及9.10.2-P3版本,请尽快升级到该版本。需要注意的是由于漏洞是直接通过DNS的服务端口进行利用的,所以并没有其他有效的缓解手段可以降低漏洞带来的风险,只能依靠程序版本的升级来防范。
(作者单位为中国教育和科研计算机网应急响应组)