【賽迪網-IT技術報道】國家計算機網絡應急技術處理協調中心關於DNS系統面臨嚴重安全漏洞風險緊急公告:
安全公告:CN-VA08-05
發佈日期:2008年7月24日
漏洞類型:欺騙
漏洞評估:重要
安全等級:三級
公開程度:公共
漏洞描述:
2008年7月9日以來,思科、微軟、ISC等互聯網域名解析服務軟體廠商紛紛發佈了安全公告,稱其DNS軟體存在高危漏洞,攻擊者可以通過猜測DNS解析過程中的報文序列號來偽造DNS權威伺服器的應答,從而達到「污染」高速緩存(Cache)中的記錄的目的,即將錯誤的域名指向信息注入DNS伺服器,最終導致受到污染的DNS伺服器將對外提供錯誤的解析結果。該種攻擊方式可造成域名劫持攻擊,使得公眾在不知情的情況下通過域名訪問到黑客指定的網站,面臨網絡釣魚和網頁木馬等一系列嚴重的安全威脅。
7月22日,針對該漏洞的探測程序被發佈,7月23日,針對該漏洞的完整攻擊程序被發佈,並隨後廣泛流傳。我中心經過初步測試後發現,在帶寬良好情況下,該攻擊程序對存在漏洞的DNS伺服器只需數分鐘就可完成攻擊,受攻擊目標會瞬時接到大量攻擊報文,容易被誤判為「query flood」方式的拒絕服務攻擊。
鑒於該安全事件形勢嚴峻且發展迅速,為確保我國互聯網的運行安全,請各相關單位迅速採取適當措施,對所運行的DNS伺服器進行必要的安全加固,並加強異常監測和處置。
建議措施:
1、根據相應廠商提供的補丁升級DNS伺服器系統;
2、因在攻擊過程中會短時出現大量偽造的域名解析響應資料包,呈現拒絕服務攻擊特點,這些資料包的源IP、目的IP、解析的IP地址相同,但序列號不同,可據此在有條件的防護設備(如智能防火牆、流量清洗設備等)上配置相應的規則加以屏蔽或過濾;
3、定期清理DNS緩存或在發現異常訪問後清理緩存。
參考信息:
|
其他信息:
CVE編號:
首次發佈日期:2008-7-24
修訂次數:0
安全公告文檔編寫:
CNCERT/CC
CNCERT/CC在發佈安全公告信息之前,都力爭保證每條公告的準確性和可靠性。然而,採納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結果也完全由用戶承擔。是否採納我們的建議取決於您個人或您企業的決策,您應考慮其內容是否符合您個人或您企業的安全策略和流程。
在任何情況下,如果您確信您的計算機系統受到危害或是攻擊,我們鼓勵您及時告知國家計算機網絡應急技術處理協調中心:http://www.cert.org.cn/servlet/Incident
同時,我們也鼓勵所有計算機與網絡安全研究機構,包括廠商和科研院所,向我們報告貴單位所發現的漏洞信息。我們將對所有漏洞信息進行驗證並在CNCERT/CC網站公佈漏洞信息及指導受影響用戶採取措施以避免損失。
如果您發現本公告存在任何問題,請與CNCERT/CC 聯繫:[email protected]
(