警惕服務器安全漏洞 一個數據包搞掛一臺DNS服務器

2015-09-17 08:59 作者：admin 瀏覽量：

　　　 只要發一個 UDP 數據包，就能搞掛一臺 DNS 服務器。不管是遞歸 DNS 還是權威 DNS，不管是 bind9 做了什么樣的配置，只要這個數據包被 bind9 進程接收了，它就會立刻拋出異常，終止服務。(網絡托管公司)

　　要及時得知漏洞信息，建議訂閱你所關心的發行版的 Security Tracker。比如 Debian 關于此次漏洞的 公告 ，從 Source 欄可以鏈接到漏洞來源(一般是 CVE)和其他發行版的安全公告。Description 是這樣的：

　　named in ISC BIND 9.x before 9.9.7-P2 and 9.10.x before 9.10.2-P3 allows remote attackers to cause a denial of service (REQUIRE assertion failure and daemon exit) via TKEY queries.

　　進一步了解這個漏洞的最好途徑就是源碼。修復這個漏洞，bind9 的代碼做了哪些修改，漏洞就出在什么地方。問 Google 找到 bind9 的源碼樹( Gitweb )，在 commit log 里能夠發現這么一行

　　2015-07-14 Mark Andrewsadd CVE-2015-5477

　　這只是一個說明，真正的代碼修改在它之前。我們可以翻閱 commit log，找到真正的代碼修改。

　　這個漏洞的修復很簡單，只是增加了 name = NULL; 這一句話。問題描述說，非法的數據包會導致 assertion fail 并退出。

　　DNS 查詢是一個 UDP 數據包，提出一個問題;DNS 服務器會響應一個 UDP 數據包，告訴所查詢問題的答案。DNS 查詢和響應的數據包格式是相同的，都由問題、回答、權威信息、附加信息等部分構成。(電腦維護外包)

　　提醒各運營商、高校等升級自己的 DNS 服務器。(it外包)

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.xsjbhw.cn