ISC BIND 9 Large RRSIG RRsets远程拒绝服务漏洞

Question

ISC BIND 9 Large RRSIG RRsets远程拒绝服务漏洞

发布日期：2011-05-27
更新日期：2011-05-30

受影响系统：
FreeBSD FreeBSD 8.x
FreeBSD FreeBSD 7.x
不受影响系统：
FreeBSD FreeBSD 8.2-STABLE
FreeBSD FreeBSD 8.2-RELEASE-p2
FreeBSD FreeBSD 8.1-RELEASE-p4
FreeBSD FreeBSD 7.4-STABLE
FreeBSD FreeBSD 7.4-RELEASE-p2
FreeBSD FreeBSD 7.3-RELEASE-p6
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 48007
CVE(CAN) ID: CVE-2011-1910

BIND是一个应用非常广泛的DNS协议的实现，由ISC负责维护，具体的开发由Nominum公司完成。

ISC BIND 9在实现上存在远程拒绝服务漏洞，远程攻击者可利用此漏洞造成应用程序进程崩溃，拒绝服务合法用户。

由于错误的处理了某些源记录集RRsets, 攻击者可用过大的RRSIG RRsets设置DNSSEC签署的授权DNS服务器作为触发器，然后向缓存解析器请求故障服务器服务的域中不存在的名称，获取的回应将触发漏洞。

<*来源：Frank Kloeker
        Michael Sinatra
  
  链接：http://www.kb.cert.org/vuls/id/795694
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

FreeBSD
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.freebsd.org/security/index.html