伯克利網絡域名（BIND）9是一個被廣泛應用的開源DNS系統項目，但最近，其曝出了一個嚴重性頗高的CVE-2021-25216安全漏洞。互聯網系統協會（ISC）指出，攻擊者能夠利用BIND的GSS-TSIF協議和GSSAPI安全策略協商機制中的緩衝區溢出漏洞來觸發遠程執行，進而導致更廣泛的漏洞利用，包括但不限於系統崩潰和遠程代碼執行。

（來自：US Cert）

在ISC 發布的一份諮詢報告中，該協會概述了可能影響DNS 系統安全性的三個漏洞。其中基於通用弱點評價體系（CVSS），BIND 9 32 / 64-bit 版本的漏洞嚴重性評級，分別為8.1 / 7.4 。

需要指出的是，在使用默認BIND 配置的情況下，系統並不會暴露易受攻擊的代碼路徑，除非管理者另行設置了服務器的tkey-gssapi-keytab / tkey-gssapi-credential 值。

通報中寫道：儘管默認配置不易受到攻擊，但GSS-TSIG 經常被用於將BIND 和Samba 集成到一起的網絡中，以及將BIND 服務器和活動目錄（Active Directory）域控制器結合在一起的混合服務器環境中。

對於滿足了這些條件的服務器，ISC SPNEGO 實施極易受到各種類型的攻擊，但具體取決於構建BIND 的特定CPU 體系結構。

ISC 提醒的第二個漏洞，是CVSS 評級達到了7.5 分的CVE-2021-25215 。主要問題在於DNAME 記錄的處理方式中發現的可被遠程利用的缺陷，且可能由於斷言（Assertions）失敗而導致進程崩潰。

危害最小的那個Bug，是CVSS 評級6.5 分的CVE-2021-25214 。研究人員在增量區域傳輸（IXFR）中發現了這個問題，如果名稱服務器收到了錯誤格式的IXFR，可能導致解析過程因斷言失敗而崩潰。

目前ISC 尚未收到有關漏洞在野外被利用的報告，但還是希望大家能夠對此提高警惕。因為僅需曝出一次成功的利用，就可能對DNS 服務造成廣泛的破壞。

比如在遭受了DoS 拒絕服務攻擊後，可能需要耗費數小時來補救，且後續很容易再次遭到破壞。基於此，ISC 希望盡快部署更新，目前BIND 9.11.31、9.16.15 和9.17.12 版本中均已集成了修復程序。

最後，本週早些時候，微軟披露了互聯網（IoT）和工業技術代碼中存在的內存錯誤分配bug 。這類操作被其統稱為BadAlloc，目前該公司正在與國土安全部（DHS）合作，以向受影響的供應商發出警報。