Расширенный

DoS-атака

DoS-атака

24 октября 2014
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
BIND Server (8.0.0, 8.4.2)
NetBSD (1.6, 1.6.1, Current)
Unixware (7.1.1)
Описание
ISC BIND - одна из наиболее популярных реализаций протокола DNS для UNIX-систем. BIND входит в состав большинства дистрибутивов UNIX. Используемая версия содержит ошибку, которая приводит к возможности сохранения в кэше полученного достоверного отрицательного ответа для какого-либо домена. В результате DNS сервер на запросы клиентов, содержащие имена узлов указанного домена, будет давать неправильный отрицательный ответ. Таким образом, клиенты будут получать неверные ответы в течение всего времени присутствия записи в кэше, которое, как известно, определяется значением TTL для указанной записи.


<b>Использование уязвимости</b>

Для использования уязвимости нарушителю необходимо иметь контролируемый им сервер DNS, который должен быть настроен таким образом, чтобы давать достоверные отрицательные ответы на запросы в отношении узлов атакуемого домена. При этом значение TTL в отправляемом ответе должно быть достаточно большим. Далее необходимо дождаться соответствующего DNS-запроса от клиента или, пользуясь, например, социальной инженерией, спровоцировать его выполнить такой запрос. Если клиент пользуется уязвимым сервером DNS, полученный ответ будет сохранён в кэше этого сервера. В течение опрелелённого периода времени, зависящего от значения TTL, клиенты будут получать неправильные ответы. Следовательно, узлы указанного домена будут недоступны по именам. Кроме того, это может оказать влияние на сервисы, работоспособность которых зависит от правильного функционирования службы доменных имён.

Использование уязвимости удаленно: да
Использование уязвимости локально: да
Как исправить
1. Для устранения уязвимости необходимо установить последнюю версию BIND, которую можно получить по адресу:
http://www.isc.org/products/BIND/.
Данной уязвимости не содержат версии 8.3.7 и выше, 8.4.3 и выше, доступные по адресам:
ftp://ftp.isc.org/isc/bind/src/8.3.7/
ftp://ftp.isc.org/isc/bind/src/8.4.3/
Однако рекомендуется использовать версию BIND 9 или выше.

2. Можно установить обновление, направленное на устранение только данной уязвимости. Для этого необходимо уточнить используемую версию BIND, а также используемую ОС. Перечень ссылок на обновления для разных версий можно найти по адресам:
http://www.kb.cert.org/vuls/id/734644
http://xforce.iss.net/xforce/xfdb/13854

3. В качестве временного решения можно ограничить число узлов, ответы от которых сохраняются в кэше уязвимого сервера DNS, настроив соответствующим образом используемый межсетевой экран.
Ссылки