BIND开源软件漏洞可导致大规模网络罢工

近日，美国ISC(Internet Systems Consortium) 紧急发布补丁，目的用于修补隐藏在DNS域名解析服务软件ISC BIND中的严重安全漏洞。该安全漏洞编号为CVE-2015-5477，能够允许远程、未经认证的攻击者使用BIND发送特殊的命令，导致DNS服务器崩溃。目前，所有BIND 9版本, 互联网上对应版本的递归服务器和权威服务器均受到该漏洞影响。CNVD对该漏洞的综合评级为“高危”。

BIND是目前部署在域名服务器中应用最广泛的开源软件之一。据悉，通过该漏洞，一名攻击者可以在一次行动中造成一片网络区域不正常，让运行BIND 的DNS服务器崩溃，让大量用户无法连接互联网。当多名攻击者同时行动时，就会导致足够多的DNS服务器出现崩溃，可能会造成今年最大规模的网络罢工。

此漏洞之所以能造成广泛影响，是因为BIND句柄的TKEY查询中出现了Bug，一个简单的UDP包就可以导致BIND服务器出现“assertion failure”错误，进而服务器上的DNS服务守护进程会结束。根据实际使用情况评估，尽管TKEY 查询功能使用较少，但由于基于漏洞构造的恶意攻击包有可能存在极强的前置条件，即使在服务器上配置访问控制列表或限制（拒绝）相关配置选项，也不能有效防范漏洞攻击。