CVE-2020-8617:检查TSIG有效性的代码逻辑错误可能被用于触发tsig.c中的断言失败

CVE-2020-8617 原文请参考ISC官网网站: https://kb.isc.org/docs/cve-2020-8617
为了技术语言的准确性,技术部分的翻译版本附带了英文原文

影响的版本:BIND 9.0.0 -> 9.11.18, 9.12.0 -> 9.12.4-P2, 9.14.0 -> 9.14.11, 9.16.0 -> 9.16.2。9.17的 实验开发分支:9.17.0 -> 9.17.1。9.13和9.15的所有开发版本分支。所有BIND支持预览版 从9.9.3-S1 到 9.11.18-S1。

严重性: 高

可利用性: 远程可利用

漏洞描述:
An error in BIND code which checks the validity of messages containing TSIG resource records can be exploited by an attacker to trigger an assertion failure in tsig.c, resulting in denial of service to clients.

攻击者可能利用BIND代码错误(注:BIND代码错误是用来检查TSIG资源记录的消息有效性的)触发tsig.c中的断言失败,从而导致拒绝为客户提供服务。

影响:

Using a specially-crafted message, an attacker may potentially cause a BIND server to reach an inconsistent state if the attacker knows (or successfully guesses) the name of a TSIG key used by the server.

如果攻击者知道(或成功猜测)服务器使用的TSIG密钥名称,则攻击者有可能使用特制的消息使BIND服务器达到不一致的状态。

由于BIND默认情况下会在其配置未使用的本地服务器上配置本地会话密钥,因此几乎当前所有的BIND服务器都容易受到攻击。

In releases of BIND dating from March 2018 and after, an assertion check in tsig.c detects this inconsistent state and deliberately exits. Prior to the introduction of the check the server would continue operating in an inconsistent state, with potentially harmful results.

在2018年3月及之后发布的BIND版本中,tsig.c中的断言检查可检测到这种不一致的状态并强制退出。在引入检查之前,服务器将继续以不一致的状态运行,从而可能产生危害。

CVSS 评分: 7.0

变通方法:

漏洞利用
我们不知道有任何活跃的漏洞被利用的案例。

解决方案

升级到与你当前使用BIND版本最接近的补丁版本:

  • BIND 9.11.19
  • BIND 9.14.12
  • BIND 9.16.3

BIND支持的预览版是BIND提供给符合条件的ISC支持客户的一个特殊功能预览分支。

  • BIND 9.11.19-S1

致谢
ISC感谢Tobias Klein发现并报道了这一问题。

相关文档
请参阅ISC的BIND 9安全漏洞矩阵,以获得受影响的安全漏洞和版本的完整列表。

有更多问题请联系

  • 英文可以直接联系ISC官方邮件: security-officer@isc.org.
  • 中文可以联系Alibaba DNS公共服务邮件:pubdns@alibaba-inc.com ,我们可以帮助联系ISC
  • 如果发现BIND有新的问题,你也可以通过以下ISC网址来提交新的漏洞: https://www.isc.org/reportbug/
上一篇:Entity Framework 5.0系列之约定配置


下一篇:开源人体动作识别OpenPose的安装与测试