BLSA-2017:0042 – [重要] bind 安全警告及修复方法


  • BCLinux Developers

    BLSA-2017:0042 – [重要] bind 安全警告及修复方法

    问题描述

    BIND是一个应用非常广泛的DNS协议的实现,它是美国加州大学Berkeley分校开发和维护的一套DNS域名解析服务软件。但是 BIND 最近暴露两个拒绝服务漏洞(CVE-2017-3136、CVE-2017-3137),恶意攻击者综合利用这些漏洞可以发起拒绝服务攻击。建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    BIND简介
    Bind是一款开放源码的DNS服务器软件,用作域名解析,由美国加州大学Berkeley分校开发和维护的,全名为Berkeley Internet Name Domain它是目前世界上使用最为广泛的DNS服务器软件,支持各种unix平台和windows平台。在Linux平台下,Bind软件提供的bind-utils工具包,提供了一些DNS相关的工具。比如dig,host,nslookup,nsupdate等,使用这些工具可以进行域名解析和DNS调试工作。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-3137 [重要]
      BIND服务器处理一个包含CNAME或者DNAME的畸形响应包时被暴露存在着拒绝服务漏洞,远程攻击者利用这个漏洞,可以通过构建恶意DNS响应包,导致BIND解析器终止,造成拒绝服务。

    • CVE-2017-3136 [中等]
      使用了设置“break-dnsses”参数为“yes”的DNS64在处理生成的畸形DNS记录时存在拒绝服务漏洞,远程攻击者利用这个漏洞,通过构建恶意DNS请求包,导致BIND解析器断言失败而退出,从而造成拒绝服务。

    解决方案

    目前,BCLinux的官方源已经提供 bind 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 9.9.4-38.el7_3.3 版本。
    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update bind
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package bind.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind.x86_64 32:9.9.4-38.el7_3.3 will be an update
    --> Processing Dependency: bind-libs = 32:9.9.4-38.el7_3.3 for package: 32:bind-9.9.4-38.el7_3.3.x86_64
    --> Running transaction check
    ---> Package bind-libs.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind-libs.x86_64 32:9.9.4-38.el7_3.3 will be an update
    --> Processing Dependency: bind-license = 32:9.9.4-38.el7_3.3 for package: 32:bind-libs-9.9.4-38.el7_3.3.x86_64
    --> Running transaction check
    ---> Package bind-license.noarch 32:9.9.4-37.el7 will be updated
    --> Processing Dependency: bind-license = 32:9.9.4-37.el7 for package: 32:bind-libs-lite-9.9.4-37.el7.x86_64
    ---> Package bind-license.noarch 32:9.9.4-38.el7_3.3 will be an update
    --> Running transaction check
    ---> Package bind-libs-lite.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind-libs-lite.x86_64 32:9.9.4-38.el7_3.3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==============================================================================================================================================
     Package                             Arch                        Version                                   Repository                    Size
    ==============================================================================================================================================
    Updating:
     bind                                x86_64                      32:9.9.4-38.el7_3.3                       updates                      1.8 M
    Updating for dependencies:
     bind-libs                           x86_64                      32:9.9.4-38.el7_3.3                       updates                      1.0 M
     bind-libs-lite                      x86_64                      32:9.9.4-38.el7_3.3                       updates                      730 k
     bind-license                        noarch                      32:9.9.4-38.el7_3.3                       updates                       83 k
    
    Transaction Summary
    ==============================================================================================================================================
    Upgrade  1 Package (+3 Dependent packages)
    
    Total download size: 3.6 M
    Is this ok [y/d/N]: y
    

    4.复查

    [root@BCLinux ~]# rpm -q bind
    bind-9.9.4-38.el7_3.3.x86_64
    

    5.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待