蘋果漠視DNS安全漏洞 桌上型OS X暫不必擔憂

【賽迪網-IT技術報道】自從三周前揭露一項重大的域名解析系統（DNS）安全漏洞以來，蘋果公司至今尚未釋出解決這個問題的MAC OS X操作系統補丁程序。不過，蘋果在自我辯護時，或許可把責任推給第三方公司。

週一在互聯網新聞組的貼文中，互聯網系統協會(Internet Systems Consortium；ISC)的Paul Vixie坦承，Berkeley Internet Name Domain (BIND) DNS Server最近釋出的-P1對部分使用者而言可能不穩定。「BIND DNS Server」用於互聯網上絕大多數的域名解析伺服器。

Vixie指出，ISC一得知有此問題，就立刻著手製作補丁程序。Vixie是Dan Kaminsky揭露DNS安全漏洞之前，先行通知的研究員之一。

不過，他說：「在開發週期中，我們發現高流量遞歸伺服器(high-traffic recursive servers)的潛在效能問題；所謂高流量，意指查詢量大於每秒一萬筆。基於有限的時間框架與相關的風險，我們選擇盡快完成補丁程序，並加快下一次的發佈時程，以化解高量伺服器效能的顧慮。」

Vixie明白，推出DNS補丁程序，比憂慮伺服器緩慢的問題更重要。他說，ISC將在本週末釋出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。

另外，Securosis.com的安全研究員Rich Mogull也呼應，釋出一個DNS補丁程序，總比沒有好。

上周在博客文章裡，Mogull評論蘋果至今尚未釋出相關的補丁程序。他在文中寫道：「蘋果用的是很普及的 Internet Systems Consortium BIND DNS伺服器，這是最先獲修補的工具之一，但蘋果尚未把修補漏洞後的版本納入Mac OS X Server裡，儘管他們很早就接獲通知，既知道安全弱點的詳細信息，也得知經過協調的補丁程序發佈日期。」

Mogull表示：「蘋果這次可能陷入進退兩難的窘境，但他們卻選擇最糟的選項－－一言不發。」

他還抱怨，眾人都不知，BIND的不穩定性對Mac OS X Server影響有多大。

他說：「如果不穩定，我的建議是，先釋出一個初步的補丁程序，讓把它當遞歸伺服器來用的使用者可先套用。如果已有活躍的黑客模板程序(exploit)，完全不修補漏洞不是可行的辦法，可能讓客戶身陷高度的危險。讓客戶自行衡量風險決定。」

Mogull建議，精通編程者，仍可把他們自己的9.5.0-P1版本安裝到Mac OS X Server，或是「重新設定那些伺服器，把DNS request的訊息轉給替代的平台，例如用Linux或Unix的BIND，或微軟的伺服器，直到蘋果發佈更新程序為止」。

Mogull在博客中提到，目前發生在網絡上的攻擊，只影響網絡伺服器上的DNS 緩存，所以桌上型MAC OS X使用者暫時還不需擔心。

(