關於DNS系統面臨嚴重安全漏洞風險緊急公告

【賽迪網-IT技術報道】國家計算機網絡應急技術處理協調中心關於DNS系統面臨嚴重安全漏洞風險緊急公告:

安全公告：CN-VA08-05

發佈日期：2008年7月24日

漏洞類型：欺騙

漏洞評估：重要

安全等級：三級

公開程度：公共

漏洞描述：

2008年7月9日以來，思科、微軟、ISC等互聯網域名解析服務軟體廠商紛紛發佈了安全公告，稱其DNS軟體存在高危漏洞，攻擊者可以通過猜測DNS解析過程中的報文序列號來偽造DNS權威伺服器的應答，從而達到「污染」高速緩存（Cache）中的記錄的目的，即將錯誤的域名指向信息注入DNS伺服器，最終導致受到污染的DNS伺服器將對外提供錯誤的解析結果。該種攻擊方式可造成域名劫持攻擊，使得公眾在不知情的情況下通過域名訪問到黑客指定的網站，面臨網絡釣魚和網頁木馬等一系列嚴重的安全威脅。

7月22日，針對該漏洞的探測程序被發佈，7月23日，針對該漏洞的完整攻擊程序被發佈，並隨後廣泛流傳。我中心經過初步測試後發現，在帶寬良好情況下，該攻擊程序對存在漏洞的DNS伺服器只需數分鐘就可完成攻擊，受攻擊目標會瞬時接到大量攻擊報文，容易被誤判為「query flood」方式的拒絕服務攻擊。

鑒於該安全事件形勢嚴峻且發展迅速，為確保我國互聯網的運行安全，請各相關單位迅速採取適當措施，對所運行的DNS伺服器進行必要的安全加固，並加強異常監測和處置。

建議措施：

1、根據相應廠商提供的補丁升級DNS伺服器系統；

2、因在攻擊過程中會短時出現大量偽造的域名解析響應資料包，呈現拒絕服務攻擊特點，這些資料包的源IP、目的IP、解析的IP地址相同，但序列號不同，可據此在有條件的防護設備（如智能防火牆、流量清洗設備等）上配置相應的規則加以屏蔽或過濾；

3、定期清理DNS緩存或在發現異常訪問後清理緩存。

參考信息：

http://www.cert.org.cn/servlet/S ... =bulletin&sub=1 http://www.kb.cert.org/vuls/id/800113http://www.isc.org/sw/bind/bind-security.phphttp://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtmlhttp://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

其他信息：

　　CVE編號：

　　首次發佈日期：2008-7-24

　　修訂次數：0

安全公告文檔編寫：

CNCERT/CC

CNCERT/CC在發佈安全公告信息之前，都力爭保證每條公告的準確性和可靠性。然而，採納和實施公告中的建議則完全由用戶自己決定，其可能引起的問題和結果也完全由用戶承擔。是否採納我們的建議取決於您個人或您企業的決策，您應考慮其內容是否符合您個人或您企業的安全策略和流程。

在任何情況下，如果您確信您的計算機系統受到危害或是攻擊，我們鼓勵您及時告知國家計算機網絡應急技術處理協調中心：http://www.cert.org.cn/servlet/Incident

同時，我們也鼓勵所有計算機與網絡安全研究機構，包括廠商和科研院所，向我們報告貴單位所發現的漏洞信息。我們將對所有漏洞信息進行驗證並在CNCERT/CC網站公佈漏洞信息及指導受影響用戶採取措施以避免損失。

如果您發現本公告存在任何問題，請與CNCERT/CC 聯繫：[email protected]

(