ISC BIND TKEY 查询拒绝服务漏洞 CVE-2015-5477

ISC BIND 在处理 TKEY 查询时的错误可导致 named 异常退出,攻击者发送恶意的TKEY 查询报文可造成 DNS 服务器拒绝服务。递归和授权服务器均受此漏洞影响,ACL 或其他配置对阻止该漏洞利用无效。目前攻击程序已在互联网上流传,并确认可造成 BIND 崩溃。

受影响的版本包括:9.1.0 -> 9.8.x, 9.9.0->9.9.7-P1, 9.10.0->9.10.2-P2

攻击程序:
https://gist.github.com/bojieli/6d4c370643c6b9f64227

ISC 官方公告:
https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

=== Debian ===

bind9 升级到以下版本可修复漏洞:

squeeze (使用 squeeze-lts 源):
1:9.7.3.dfsg-1~squeeze16

wheezy (使用 wheezy-security 源):
1:9.8.4.dfsg.P1-6+nmu2+deb7u6

jessie (使用 jessie-security 源):
1:9.9.5.dfsg-9+deb8u2

确认当前版本:
apt-cache policy bind9

参考:
https://security-tracker.debian.org/tracker/CVE-2015-5477
https://www.debian.org/security/2015/dsa-3319

=== Ubuntu ===

bind9 升级到以下版本可修复漏洞:

Ubuntu 15.04:
1:9.9.5.dfsg-9ubuntu0.2

Ubuntu 14.04 LTS:
1:9.9.5.dfsg-3ubuntu0.4

Ubuntu 12.04 LTS:
1:9.8.1.dfsg.P1-4ubuntu0.12

确认当前版本:
apt-cache policy bind9

参考:
http://www.ubuntu.com/usn/usn-2693-1/

=== RHEL/CentOS ===

RHEL7:
bind-9.9.4-18.el7_1.3

RHEL6:
bind-9.8.2-0.37.rc1.el6_7.2

RHEL5:
bind-9.3.6-25.P1.el5_11.3
bind97-9.7.0-21.P2.el5_11.2

CentOS 更新包已发布在持续更新源(CR repo):
http://wiki.centos.org/AdditionalResources/Repositories/CR

确认当前版本:
rpm -q bind

参考:
https://access.redhat.com/security/cve/CVE-2015-5477