文/鄭先偉

DNS服務(wù)程序BIND存安全漏洞

文/鄭先偉

CCERT月報

8月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴重的安全事件。

由于仍在暑假期間，大部分的投訴事件數(shù)量有所減少，但是與網(wǎng)站安全有關(guān)的事件仍在高位數(shù)運行，這些網(wǎng)站的漏洞信息主要來源于目前比較紅火的各類安全眾測項目，這些項目依托眾測平臺及大量對安全感興趣的人對各類網(wǎng)站目標(biāo)進行的安全檢測。由于安全愛好者里不乏在校的大學(xué)生，所以測試目標(biāo)有很多都是高校的網(wǎng)站，也因此能檢測出很多高校網(wǎng)站的漏洞。

近期沒有新增影響范圍廣且危害嚴重的木馬病毒。

近期新增嚴重漏洞評述

8月首先要關(guān)注的漏洞是微軟8月的例行安全公告，此次公告共14個，其中4個為嚴重等級，10個為重要等級。這些公告修補了包括Windows系統(tǒng)、IE瀏覽器、Office軟件、Silverlight、Edge、Lync、Server 軟件和.NET Framework中存在的58個安全漏洞，用戶應(yīng)該盡快安裝相應(yīng)的補丁程序。相關(guān)公告及漏洞的詳情可參見：https://technet.microsoft.com/zh-CN/library/ security/ms15-Aug。

Adobe公司8月的例行安全公告（APSB15-19）也需要關(guān)注，此次公告主要針對Flash player軟件，公告修補了Flash Player軟件中的8個安全漏洞，這些漏洞可能導(dǎo)致遠程任意代碼執(zhí)行，用戶應(yīng)該盡快升級自己的Flash軟件版本。漏洞的相關(guān)詳情請參見：https://helpx.adobe. com/security/products/flash-player/apsb15-19.html。

本月需要特別關(guān)注的兩個漏洞

1. ISC BIND TKEY 查詢拒絕服務(wù)漏洞

TKEY是一種用于在兩臺主機之間自動生成共享密匙的機制。TKEY機制中有多種模式來指定如何生成和共享密匙。BIND9在程序中支持TKEY機制中的Diffie-Hellman密匙交換模式，但是程序在實現(xiàn)過程中存在缺陷。當(dāng)用戶向BIND9服務(wù)程序發(fā)送特定的TKEY查詢時，可能引發(fā)程序的REQUIRE斷言失敗導(dǎo)致BIND9進程退出，從而造成拒絕服務(wù)攻擊。BIND是目前互聯(lián)網(wǎng)上使用最為廣泛的DNS服務(wù)程序，此次漏洞影響幾乎所有版本的BIND軟件，并且漏洞的利用代碼已經(jīng)被公布并利用。ISC官方已經(jīng)在最新版本（9.9.7-P2及9.10.2-P3）的BIND中修補了該漏洞，我們建議DNS服務(wù)器的管理員盡快升級相關(guān)程序的版本到最新。

2. IE瀏覽器0day漏洞（CVE-2015-2502）

Internet Explorer 7-11版本，沒有正確訪問內(nèi)存對象，在實現(xiàn)上存在遠程代碼執(zhí)行漏洞，攻擊者利用此漏洞可在當(dāng)前用戶上下文中執(zhí)行任意代碼。由于漏洞正在被利用，微軟在例行安全公告后被迫追加了對該漏洞的修補補丁，用戶應(yīng)該盡快更新自己的IE瀏覽器到最新版本。漏洞的詳細信息可參見：http://technet.microsoft. com/security/bulletin/MS15-093。

2015年7月～8月安全投訴事件統(tǒng)計

安全提示

鑒于前文提到的BIND漏洞向外公布的日期正是學(xué)校的暑假期間，相關(guān)的管理員有可能沒有及時獲取漏洞信息及補丁程序，使得相關(guān)的DNS服務(wù)器存在安全風(fēng)險。我們建議相關(guān)管理員盡快檢查自己服務(wù)器上的BIND版本，如果低于9.9.7-P2及9.10.2-P3版本，請盡快升級到該版本。需要注意的是由于漏洞是直接通過DNS的服務(wù)端口進行利用的，所以并沒有其他有效的緩解手段可以降低漏洞帶來的風(fēng)險，只能依靠程序版本的升級來防范。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）