ISC 修复 BIND 域名系统严重漏洞，可导致服务崩溃

互联网软件系统联盟( ISC )本周修复了 BIND 域名系统，解决了一个可被远程利用导致系统崩溃的严重漏洞。

DNS64 是配合 NAT64 实现 IPv4 – IPv6 互访的关键部件，主要功能是合成和维护 AAAA 记录( AAAA record )，从而转化 IPv4 地址便于 IPv6 客户端接收。 应答策略区域（ RPZ ）机制用于域名系统递归解析器处理特定域名信息。

该漏洞（ CVE-2017-3135 ）发生在服务器同时使用 DNS64 和 RPZ 功能时，由于某些配置问题将导致重写查询响应不一致，引发 INSIST assertion 失败或尝试读取 NULL 指针。在大多数平台上，读取 NULL 指针将导致分段错误（ segmentation fault ）、进程终止。

受影响的版本
9.8.8
9.9.3-S1 -> 9.9.9-S7
9.9.3 -> 9.9.9-P5
9.9.10b1
9.10.0 -> 9.10.4-P5
9.10.5b1
9.11.0 -> 9.11.0-P2
9.11.1b1

解决方法
从配置中删除 DNS64 或 RPZ 作为解决方法。
最安全的措施还是更新 BIND 升级到当前最新版本（下载链接）。

本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。