服务公告

全部公告 > 安全公告 > 关于BIND可能导致放大反射攻击漏洞预警(CVE-2020-8616)

关于BIND可能导致放大反射攻击漏洞预警(CVE-2020-8616)

2020-05-20

一、概要

近日,华为云关注到ISC官网发布BIND漏洞安全公告(CVE-2020-8616)。当DNS递归服务器在处理DNS请求时会向权威服务器请求解析结果,权威服务器可能会进行子域名委派,而BIND的原始设计并未充分限制处理委派响应的查询次数。恶意攻击者可以利用漏洞给DNS递归服务器回复一个巨大的委派列表,达到降低DNS递归服务器的性能,造成DNS放大攻击的目的。

目前该漏洞的发现团队也正式公开了漏洞信息,并将该类漏洞统一命名为NXNSAttack,详情请参考链接:

https://kb.isc.org/docs/cve-2020-8616

https://www.zdnet.com/article/nxnsattack-technique-can-be-abused-for-large-scale-ddos-attacks/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

BIND

9.0.0-> 9.11.18

9.12.0-> 9.12.4-P2

9.14.0-> 9.14.11

9.16.0-> 9.16.2

9.17.0 -> 9.17.1 of the 9.17 experimental development branch

9.13 and 9.15 development branches

9.9.3-S1 -> 9.11.18-S1

安全版本:

BIND 9.11.19

BIND 9.14.12

BIND 9.16.3

BIND 9.11.19-S1

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

下载地址:https://www.isc.org/download/

华为云Anti-DDoS流量清洗服务已具备针对DNS反射放大攻击攻击防御策略,可以覆盖此漏洞被利用后所产生的攻击流量。

注:修复漏洞前请将资料备份,并进行充分测试。