​BIND多安全漏洞分析

BIND（Berkeley Internet Name Daemon）是现今互联网上最常使用的DNS服务器软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会（Internet Systems Consortium，ISC）负责开发与维护。

近日，ISC发布安全公告，督促用户更新DNS服务器来修复BIND漏洞。

第一个漏洞CVE编号为CVE-2021-25216，32位版本的CVSS评分为8.1分，64位版本的CVSS 评分为7.4分。攻击者可以通过执行针对BIND GSSAPI安全策略协商机制的缓冲区溢出攻击来远程触发该漏洞，引发包括系统奔溃和远程代码执行等漏洞利用。

但是，在使用默认BIND配置情况下，有漏洞的代码路径并不会暴露，除非服务器的值(tkey-gssapi-keytab/tkey-gssapi-credential)也被设置了。虽然默认配置没有漏洞，但GSS-TSIG 常常用于BIND集成的Samba以及融合了BIND服务器和活动目录域控制器的混合服务器环境中。对满足这些条件的服务器，根据CPU架构的不同，ISC SPNEGO实现会面临不同类型的攻击。

第二个漏洞CVE编号为CVE-2021-25215，CVSS评分为7.5分，是DNAME记录处理中的远程利用漏洞，可能会引发进程奔溃。

第三个漏洞CVE编号为CVE-2021-25214，CVSS评分6.5分。是incremental zone transfers (IXFR，增量区域传输)中的安全漏洞，如果named server接收到伪造的IXFR，就会引发命名进程奔溃。

BIND中的漏洞影响还是非常大的，成功利用后可能会引发服务大规模中断。目前，ISC 尚未发现相关漏洞的在野利用。

大多数漏洞是在BIND 9中发现的。目前BIND 9.11.31、9.16.15和9.17.12中都修复了相关漏洞。