9月20日互联网系统协会(ISC)发布DNS软件BIND更新,提供9.16.44、9.18.19、9.19.17等版本,修补高风险漏洞CVE-2023-3341、CVE-2023-4236。
这两个漏洞的CVSS风险评分同为7.5,影响范围较广的是CVE-2023-3341,一旦遭到利用,攻击者可藉由控制频道发送伪造消息,可能导致处理封包的程式码占满整个内存堆叠,使得BIND无预期停止运作,影响9.16、9.18、9.19版BIND。
这项漏洞发生的原因,在于处理控制通道信息的代码传送到named时,会在解析封包的过程呼叫特定的递归功能。 递归的深度取决于可接受的封包最大值; 这可能造成封包解析的代码耗尽可用的内存堆栈,导致named无预期终止。 由于每个输入的控制频道消息内容在通过验证前会进行完全解析,攻击者若要利用这项弱点,只要通过特定的TCP接口配置,就能从网络访问控制频道,无须持有有效的RNDC密钥。
ISC本次修补的另一个漏洞CVE-2023-4236,起因是处理DNS-over-TLS查询的代码存在弱点,导致该系统内部数据结构在出现大量查询作业的情况下,而造成不正确的重复利用,演变成断言(assertion)出错让该系统终止运作,影响9.18版BIND。 不过,ISC指出,这项弱点并不影响DNS-over-TLS的代码。
