【安全通告】ISC BIND多个安全漏洞风险通告

腾讯云 2021年05月06日浏览2379

新闻资讯腾讯云代理腾讯云直播申请游戏上云

摘要：

尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，ISC BIND披露多个安全漏洞，漏洞编号：CVE-2021-25216，CVE-2021-25215，CVE-2021-25214。可造成服务奔溃等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

ISC BIND是美国Internet Systems Consortium（ISC）公司所维护的一套DNS域名解析服务软件。

CVE-2021-25216（高危）：

GSS-TSIG是TSIG协议的扩展，旨在支持密钥的安全交换，以用于验证网络上各方之间通信的真实性。SPNEGO是GSS-TSIG的应用程序协议接口GSSAPI使用的协商机制。经发现，BIND使用的SPNEGO实现容易受到缓冲区溢出攻击。可能造成服务崩溃甚至代码执行。

CVE-2021-25215（高危）：
RFC 6672中描述的DNAME记录提供了一种重定向DNS中域名树的子树的方法。 named处理这些记录的方式中的缺陷可能触发多次尝试将相同的RRset添加到ANSWER节中的尝试。这会导致BIND中的断言检查失败。DNAME记录由权威服务器和递归服务器处理。对于权威服务器，可以从区域数据库中检索触发漏洞的DNAME记录。对于执行递归的服务器，在发送给权威服务器的查询过程中会处理此类记录。

当named的易受攻击版本接收到触发上述漏洞的记录查询时，named进程将因断言检查失败而终止。

CVE-2021-25214（中危）：
损坏的入站增量区域更新（IXFR）可能导致named意外终止

风险等级

高

漏洞风险

攻击者可利用漏洞造成服务崩溃等危害

影响版本

CVE-2021-25216：
BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13,
BIND Supported Preview Edition：BIND 9.11.3-S1 -> 9.11.29-S1，9.16.8-S1 -> 9.16.13-S1
BIND 9.17 development branch：9.17.0 -> 9.17.1

CVE-2021-25215：

BIND 9.0.0 -> 9.11.29, 9.12.0 -> 9.16.13,
BIND Supported Preview Edition： BIND 9.9.3-S1 -> 9.11.29-S1 ， 9.16.8-S1 -> 9.16.13-S1
BIND 9.17 development branch： 9.17.0 -> 9.17.11

CVE-2021-25214：

BIND 9.8.5 -> 9.8.8, 9.9.3 -> 9.11.29, 9.12.0 -> 9.16.13,
BIND 9 Supported Preview Edition：BIND 9.9.3-S1 -> 9.11.29-S1 ，9.16.8-S1 -> 9.16.13-S1,
BIND 9.17 development branch：9.17.0 -> 9.17.11

安全版本

CVE-2021-25216：

BIND 9.11.31
BIND 9.16.15

BIND Supported Preview Edition：
BIND 9.11.31-S1
BIND 9.16.15-S1

CVE-2021-25215：

BIND 9.11.31
BIND 9.16.15
BIND 9.17.12

BIND Supported Preview Edition：
BIND 9.11.31-S1
BIND 9.16.15-S1

CVE-2021-25214：

BIND 9.11.31
BIND 9.16.15
BIND 9.17.12

BIND Supported Preview Edition：
BIND 9.11.31-S1
BIND 9.16.15-S1

修复建议

目前官方已发布漏洞修复版本，请酌情升级到最新版本

https://www.isc.org/download/

【备注】：建议您在升级前做好数据备份工作，测试并评估业务运行状况，避免出现意外