服务公告
关于BIND可能导致放大反射攻击漏洞预警(CVE-2020-8616)
2020-05-20
一、概要
近日,华为云关注到ISC官网发布BIND漏洞安全公告(CVE-2020-8616)。当DNS递归服务器在处理DNS请求时会向权威服务器请求解析结果,权威服务器可能会进行子域名委派,而BIND的原始设计并未充分限制处理委派响应的查询次数。恶意攻击者可以利用漏洞给DNS递归服务器回复一个巨大的委派列表,达到降低DNS递归服务器的性能,造成DNS放大攻击的目的。
目前该漏洞的发现团队也正式公开了漏洞信息,并将该类漏洞统一命名为NXNSAttack,详情请参考链接:
https://kb.isc.org/docs/cve-2020-8616
https://www.zdnet.com/article/nxnsattack-technique-can-be-abused-for-large-scale-ddos-attacks/
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
BIND
9.0.0-> 9.11.18,
9.12.0-> 9.12.4-P2,
9.14.0-> 9.14.11,
9.16.0-> 9.16.2
9.17.0 -> 9.17.1 of the 9.17 experimental development branch
9.13 and 9.15 development branches
9.9.3-S1 -> 9.11.18-S1
安全版本:
BIND 9.11.19
BIND 9.14.12
BIND 9.16.3
BIND 9.11.19-S1
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
下载地址:https://www.isc.org/download/
华为云Anti-DDoS流量清洗服务已具备针对DNS反射放大攻击攻击防御策略,可以覆盖此漏洞被利用后所产生的攻击流量。
注:修复漏洞前请将资料备份,并进行充分测试。