關於DNS系統面臨嚴重安全性漏洞風險緊急公告

仲介交易 SEO診斷淘寶客 站長團購 雲主機 技術大廳

國家電腦網路應急技術處理協調中心關於DNS系統面臨嚴重安全性漏洞風險緊急公告:

安全公告：CN-VA08-05

發佈日期：2008年7月24日

漏洞類型：欺騙

漏洞評估：重要

安全等級：三級

公開程度：公共

漏洞描述：

2008年7月9日以來，思科、微軟、ISC等互聯網功能變數名稱解析服務軟體廠商紛紛發佈了安全公告，稱其DNS軟體存在高危漏洞，攻擊者可以通過猜測DNS解析過程中的報文序號來偽造DNS權威伺服器的應答，從而達到「污染」快取記憶體( Cache)中的記錄的目的，即將錯誤的功能變數名稱指向資訊注入DNS伺服器，最終導致受到污染的DNS伺服器將對外提供錯誤的解析結果。 該種攻擊方式可造成功能變數名稱劫持攻擊，使得公眾在不知情的情況下通過功能變數名稱訪問到駭客指定的網站，面臨網路釣魚和網頁木馬等一系列嚴重的安全威脅。

7月22日，針對該漏洞的探測程式被發佈，7月23日，針對該漏洞的完整攻擊程式被發佈，並隨後廣泛流傳。 我中心經過初步測試後發現，在頻寬良好情況下，該攻擊程式對存在漏洞的DNS伺服器只需數分鐘就可完成攻擊，受攻擊目標會暫態接到大量攻擊報文，容易被誤判為「query flood」方式的拒絕服務攻擊。

鑒於該安全事件形勢嚴峻且發展迅速，為確保我國互聯網的運行安全，請各相關單位迅速採取適當措施，對所運行的DNS伺服器進行必要的安全加固，並加強異常監測和處置。

建議措施：

1、根據相應廠商提供的補丁升級DNS伺服器系統;

2、因在攻擊過程中會短時出現大量偽造的功能變數名稱解析回應資料包，呈現拒絕服務攻擊特點，這些資料包的源IP、目的IP、解析的IP位址相同，但序號不同，可據此在有條件的防護設備(如智慧防火牆、流量清洗設備等) 上配置相應的規則加以遮罩或過濾;

3、定期清理DNS緩存或在發現異常訪問後清理緩存。

參考資訊：

HTTP://www.cert.org.cn/servlet/S ... =bulletin&sub=1

HTTP://www.kb.cert.org/vuls/id/800113

HTTP://www.isc.org/sw/bind/bind-security.php

HTTP://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml

HTTP://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

其他資訊：

CVE編號：

首次發佈日期：2008-7-24

修訂次數：0

安全公告文檔編寫：

CNCERT/CC

CNCERT/CC在發佈安全公告資訊之前，都力爭保證每條公告的準確性和可靠性。 然而，採納和實施公告中的建議則完全由使用者自己決定，其可能引起的問題和結果也完全由使用者承擔。 是否採納我們的建議取決於您個人或您企業的決策，您應考慮其內容是否符合您個人或您企業的安全性原則和流程。

在任何情況下，如果您確信您的電腦系統受到危害或是攻擊，我們鼓勵您及時告知國家電腦網路應急技術處理協調中心：HTTP://www.cert.org.cn/servlet/Incident

同時，我們也鼓勵所有電腦與網路安全研究機構，包括廠商和科研院所，向我們報告貴單位所發現的漏洞資訊。 我們將對所有漏洞資訊進行驗證並在CNCERT/CC網站公佈漏洞資訊及指導受影響使用者採取措施以避免損失。

如果您發現本公告存在任何問題，請與CNCERT/CC 聯繫：cncert@cert.org.cn