（來自：US Cert）

在 ISC 發(fā)布的一份咨詢報告中，該協(xié)會概述了可能影響 DNS 系統(tǒng)安全性的三個漏洞。其中基于通用弱點評價體系（CVSS），BIND 9 32 / 64-bit 版本的漏洞嚴(yán)重性評級，分別為 8.1 / 7.4 。

需要指出的是，在使用默認(rèn) BIND 配置的情況下，系統(tǒng)并不會暴露易受攻擊的代碼路徑，除非管理者另行設(shè)置了服務(wù)器的 tkey-gssapi-keytab / tkey-gssapi-credential 值。

通報中寫道：盡管默認(rèn)配置不易受到攻擊，但 GSS-TSIG 經(jīng)常被用于將 BIND 和 Samba 集成到一起的網(wǎng)絡(luò)中，以及將 BIND 服務(wù)器和活動目錄（Active Directory）域控制器結(jié)合在一起的混合服務(wù)器環(huán)境中。

對于滿足了這些條件的服務(wù)器，ISC SPNEGO 實施極易受到各種類型的攻擊，但具體取決于構(gòu)建 BIND 的特定 CPU 體系結(jié)構(gòu)。

ISC 提醒的第二個漏洞，是 CVSS 評級達(dá)到了 7.5 分的 CVE-2021-25215 。主要問題在于 DNAME 記錄的處理方式中發(fā)現(xiàn)的可被遠(yuǎn)程利用的缺陷，且可能由于斷言（Assertions）失敗而導(dǎo)致進(jìn)程崩潰。

危害最小的那個 Bug，是 CVSS 評級 6.5 分的 CVE-2021-25214 。研究人員在增量區(qū)域傳輸（IXFR）中發(fā)現(xiàn)了這個問題，如果名稱服務(wù)器收到了錯誤格式的 IXFR，可能導(dǎo)致解析過程因斷言失敗而崩潰。

目前 ISC 尚未收到有關(guān)漏洞在野外被利用的報告，但還是希望大家能夠?qū)Υ颂岣呔?。因為僅需曝出一次成功的利用，就可能對 DNS 服務(wù)造成廣泛的破壞。

比如在遭受了 DoS 拒絕服務(wù)攻擊后，可能需要耗費數(shù)小時來補救，且后續(xù)很容易再次遭到破壞?；诖?，ISC 希望盡快部署更新，目前 BIND 9.11.31、9.16.15 和 9.17.12 版本中均已集成了修復(fù)程序。

最后，本周早些時候，微軟披露了互聯(lián)網(wǎng)（IoT）和工業(yè)技術(shù)代碼中存在的內(nèi)存錯誤分配 bug 。這類操作被其統(tǒng)稱為 BadAlloc，目前該公司正在與國土安全部（DHS）合作，以向受影響的供應(yīng)商發(fā)出警報。