北京时间6月12日,ISC在其官网上公布了一个存在于BIND9软件中的高危漏洞CVE-2014-3859,以下为该漏洞的具体内容:
摘要:恶意构造的查询会导致BIND名字服务器因发生REQUIRE断言错误而崩溃
CVE: CVE-2014-3859
文档版本: 2.0
发布日期: 2014年6月12日
受影响软件:BIND
受影响软件版本:9.10.0、9.10.0-P1
严重程度:高危
可利用方式:远程
漏洞描述:
由于EDNS选项处理存在一个漏洞,利用该漏洞恶意构造的查询会导致名字服务器因发生断言错误而崩溃。
漏洞影响:
权威服务器和递归服务器均存在该漏洞。利用该漏洞会导致运行相关BIND版本的名字服务器拒绝服务。访问控制列表不能防止该情形的发生。
造成该问题的错误位于libdns中,除了名字服务器,其他基于受影响版本的libdns库的应用(例如dig和delv)也会因同样的情形引发断言错误而导致崩溃。
漏洞利用:目前没有出现对该漏洞的恶意利用。
BIND 9版本9.10.0-P2
