【賽迪網-IT技術報道】自從三周前揭露一項重大的域名解析系統(DNS)安全漏洞以來,蘋果公司至今尚未釋出解決這個問題的MAC OS X操作系統補丁程序。不過,蘋果在自我辯護時,或許可把責任推給第三方公司。
週一在互聯網新聞組的貼文中,互聯網系統協會(Internet Systems Consortium;ISC)的Paul Vixie坦承,Berkeley Internet Name Domain (BIND) DNS Server最近釋出的-P1對部分使用者而言可能不穩定。「BIND DNS Server」用於互聯網上絕大多數的域名解析伺服器。
Vixie指出,ISC一得知有此問題,就立刻著手製作補丁程序。Vixie是Dan Kaminsky揭露DNS安全漏洞之前,先行通知的研究員之一。
不過,他說:「在開發週期中,我們發現高流量遞歸伺服器(high-traffic recursive servers)的潛在效能問題;所謂高流量,意指查詢量大於每秒一萬筆。基於有限的時間框架與相關的風險,我們選擇盡快完成補丁程序,並加快下一次的發佈時程,以化解高量伺服器效能的顧慮。」
Vixie明白,推出DNS補丁程序,比憂慮伺服器緩慢的問題更重要。他說,ISC將在本週末釋出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。
另外,Securosis.com的安全研究員Rich Mogull也呼應,釋出一個DNS補丁程序,總比沒有好。
上周在博客文章裡,Mogull評論蘋果至今尚未釋出相關的補丁程序。他在文中寫道:「蘋果用的是很普及的 Internet Systems Consortium BIND DNS伺服器,這是最先獲修補的工具之一,但蘋果尚未把修補漏洞後的版本納入Mac OS X Server裡,儘管他們很早就接獲通知,既知道安全弱點的詳細信息,也得知經過協調的補丁程序發佈日期。」
Mogull表示:「蘋果這次可能陷入進退兩難的窘境,但他們卻選擇最糟的選項--一言不發。」
他還抱怨,眾人都不知,BIND的不穩定性對Mac OS X Server影響有多大。
他說:「如果不穩定,我的建議是,先釋出一個初步的補丁程序,讓把它當遞歸伺服器來用的使用者可先套用。如果已有活躍的黑客模板程序(exploit),完全不修補漏洞不是可行的辦法,可能讓客戶身陷高度的危險。讓客戶自行衡量風險決定。」
Mogull建議,精通編程者,仍可把他們自己的9.5.0-P1版本安裝到Mac OS X Server,或是「重新設定那些伺服器,把DNS request的訊息轉給替代的平台,例如用Linux或Unix的BIND,或微軟的伺服器,直到蘋果發佈更新程序為止」。
Mogull在博客中提到,目前發生在網絡上的攻擊,只影響網絡伺服器上的DNS 緩存,所以桌上型MAC OS X使用者暫時還不需擔心。
(