CVE-2020-8616: BIND未充分限制處理引薦報文(referrals)時的查詢數量

CVE-2020-8616 原文請參考ISC官網網站: https://kb.isc.org/docs/cve-2020-8616
為了技術語言的準確性，技術部分的翻譯版本附帶了英文原文

影響的版本：BIND 9.0.0 -> 9.11.18, 9.12.0 -> 9.12.4-P2, 9.14.0 -> 9.14.11, 9.16.0 -> 9.16.2。9.17的 實驗開發分支：9.17.0 -> 9.17.1。9.13和9.15的所有開發版本分支。所有BIND支持預覽版 從9.9.3-S1 到 9.11.18-S1。

嚴重性: 高

可利用性: 遠程可利用

漏洞描述：
In order for a server performing recursion to locate records in the DNS graph it must be capable of processing referrals, such as those received when it attempts to query an authoritative server for a record which is delegated elsewhere.
為了讓服務器在DNS圖（注：DNS樹形結構）中執行遞歸查詢，定位DNS記錄，它必須能夠處理引薦報文（referrals）。例如遞歸試圖查詢一個權威服務器和其上的DNS記錄，上級權威服務器會通過引薦報文（referrals）應答方式引導遞歸服務器去查詢位於某地方的權威服務器。

In its original design BIND (as well as other nameservers) does not sufficiently limit the number of fetches which may be performed while processing a referral response.
在BIND的最初設計中（以及其他名字服務器），沒有充分限制處理引薦報文時的查詢數量。

影響：

A malicious actor who intentionally exploits this lack of effective limitation on the number of fetches performed when processing referrals can, through the use of specially crafted referrals, cause a recursing server to issue a very large number of fetches in an attempt to process the referral.
惡意的參與者故意利用（BIND）處理引薦報文（referrals）時缺乏有效限制的缺陷，通過使用特別設計引薦報文，可以導致遞歸服務器在處理報文時發出大量的查詢報文。(注：安全漏洞的原理具體請參考CZ.NIC 寫的文章)

This has at least two potential effects:
這樣至少有兩個潛在影響：

• 1.The performance of the recursing server can potentially be degraded by the additional work required to perform these fetches, and
  由於發送了大量的額外查詢報文，遞歸服務器的性能可能被降低
• 2.The attacker can exploit this behavior to use the recursing server as a reflector in a reflection attack with a high amplification factor.
  攻擊者可以利用這個行為來讓遞歸服務器成為反射器來發起反射放大攻擊

注：BIND可以放大1000倍。當處理收到的引薦報文，其中包含500個壓縮的NS記錄，BIND遞歸同時查詢A和AAAA地址。

CVSS 評分: 8.0

變通方法： 無

漏洞利用：
我們不知道有任何活躍的漏洞被利用的案例，除了一篇在2020年5月發表的關於這個缺陷的學術論文。

解決方案

升級到與你當前使用BIND版本最接近的補丁版本:

• BIND 9.11.19
• BIND 9.14.12
• BIND 9.16.3

BIND支持的預覽版是BIND提供給符合條件的ISC支持客戶的一個特殊功能預覽分支。

• BIND 9.11.19-S1

致謝：
ISC感謝特拉維夫大學的Lior Shafir和Yehuda Afek以及跨學科中心(IDC) Herzliya的Anat Bremler-Barr發現並報道了這一問題

相關文檔：
發現這一漏洞的人準備了一篇學術論文來介紹他們的發現，並將其發佈在http://www.nxnsattack.com 上。

請參閱ISC的BIND 9安全漏洞矩陣，以獲得受影響的安全漏洞和版本的完整列表。

有更多問題請聯繫：

• 英文可以直接聯繫ISC官方郵件： [email protected].
• 中文可以聯繫Alibaba DNS公共服務郵件：[email protected] ，我們可以幫助聯繫ISC
• 如果發現BIND有新的問題，你也可以通過以下ISC網址來提交新的漏洞: https://www.isc.org/reportbug/