Internet Systems Consortium (ISC) 发布了多个补丁,以应对 Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) 软件套件中的多个安全漏洞,这些漏洞可能被利用来触发拒绝服务 (DoS) 情况。
“网络威胁行为者可以利用其中一个漏洞造成拒绝服务情况,”美国网络安全和基础设施安全局(CISA)在一份公告中表示。
下面列出了四个漏洞的列表:
- CVE-2024-4076 (CVSS 评分:7.5) – 由于逻辑错误,触发提供过时数据和本地权威区域数据中所需查找的查找可能导致断言失败
- CVE-2024-1975 (CVSS 评分: 7.5) – 验证使用 SIG(0) 协议签名的 DNS 消息可能会导致 CPU 负载过高,从而导致拒绝服务情况。
- CVE-2024-1737 (CVSS 评分:7.5) – 有可能为给定的所有者名称制作过多的资源记录类型,这会导致数据库处理速度减慢
- CVE-2024-0760 (CVSS 评分: 7.5) – 通过 TCP 发送许多查询但从未读取响应的恶意 DNS 客户端可能导致服务器对其他客户端的响应缓慢或根本没有响应
成功利用上述 bug 可能会导致命名实例意外终止,耗尽可用的 CPU 资源,将查询处理速度减慢 100 倍,并使服务器无响应。
本月早些时候发布的 BIND 9 版本 9.18.28、9.20.0 和 9.18.28-S1 中已解决这些缺陷。没有证据表明任何缺点在野外被利用。
在披露这一消息的几个月前,ISC 解决了 BIND 9 中的另一个漏洞,称为 KeyTrap(CVE-2023-50387,CVSS 评分:7.5),该漏洞可能被滥用来耗尽 CPU 资源并阻止 DNS 解析器,从而导致拒绝服务 (DoS)。