安全公告編號:CNTA-2020-0009

2020年5月22日，國家信息安全漏洞共享平臺（CNVD）收錄了DNS BIND拒絕服務漏洞（CNVD-2020-29429，對應CVE-2020-8617）👩🏽‍🔧。攻擊者利用該漏洞，可使BIND域名解析服務崩潰🍒。目前🦹🏿‍♂️🕳，該漏洞的利用代碼已公開，廠商已發布新版本完成修復。

一、漏洞情況分析

BIND（BerkeleyInternet Name Domain）是由美國互聯網系統協會（ISC✋🏼，Internet Systems Consortium）負責開發和維護的域名解析服務（DNS）軟件，是現今互聯網上使用較為廣泛的DNS解析服務軟件。

2020年5月22日🏄🏻👨🏼‍⚕️，國家信息安全漏洞共享平臺（CNVD）收錄了由北京知道創宇信息技術股份有限公司報送的ISC BIND拒絕服務漏洞🧚‍♂️。由於BIND代碼會對TSIG資源記錄消息進行正確性檢查，因此攻擊者可通過發送精心構造的惡意數據，使其進程在tsig.c位置觸發斷言失敗🎛，導致BIND域名解析服務崩潰。攻擊者利用漏洞可發起拒絕服務攻擊。該漏洞對互聯網上廣泛應用的BIND軟件構建的域名服務器構成安全運行風險。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

該漏洞影響的產品版本如下：

BIND 9.12.0 ~ 9.12.4P2

BIND 9.14.0 ~ 9.14.11

BIND 9.16.0 ~ 9.16.2

BIND 9.17.0 ~ 9.17.1實驗版本分支

BIND 9.13 ~ 9.15所有廢棄的開發分支

BIND 9.9.3-S1至 9.11.18-S1 的發行預覽版

CNVD對DNS BIND在我國境內的分布情況進行統計，結果顯示我國境內共有5571060臺服務器（根據IP和端口去重）運行該DNS域名解析服務👷🏽‍♂️。

三、漏洞處置建議

目前，BIND官方已發布9.11.19🥖，9.14.12及9.16.3版本完成漏洞修復🏊🏻‍♂️，CNVD建議用戶關註廠商主頁，盡快升級至新版本，避免引發漏洞相關的網絡安全事件。

附參考鏈接：

https://www.isc.org/downloads/bind/（補丁地址）

https://downloads.isc.org/isc/bind9/9.11.19/BIND9.11.19.x64.zip

https://downloads.isc.org/isc/bind9/9.14.12/BIND9.14.12.x64.zip

https://downloads.isc.org/isc/bind9/9.16.3/BIND9.16.3.x64.zip

感謝CNVD技術組支撐單位——北京知道創宇信息技術股份有限公司為本報告提供的數據支持。