234钱包

近日，，，234钱包安全应急响应中心监控到DNS法式Unbound/BIND 等被曝出存在多个安全缝隙（CVE-2020-12663，，，CVE-2020-12662，，，CVE-2020-8616），，，缝隙被利用可导致 DNS公共服务受影响。！！！

建议受影响的用户实时关注并采取安全措施进行加固，，，预防损失。！！！

缝隙编号及受影响法式:

CVE-2020-12663/ CVE-2020-12662：：Unbound DNS

CVE-2020-8616：：BIND DNS

缝隙描述:

CVE-2020-12662/ CVE-2020-8616

钻研人员发现，，， Unbound和其他DNS解析器存在一个问题：：单个传入查问可能出现大量传出查问了局。！！！Ｕ馐沟肬nbound/BIND能够被用于回绝服务攻击。！！！Ｗ暄腥嗽苯庵止セ鞒莆狽XNSattack。！！！

CVE-2020-12663

当接受来自上游服务器的谬误应答时，，，可能导致 Unbound 进入无限循环，，，从而无法响应。！！！ 使用--enable-debug 进行编译时，，， 可能触发断言导致 Unbound崩！！！！！！

经分析，，， NXNSattack 攻击缺点存在于 DNS 和谈中，，，并且会影响所有递归 DNS 解析器。！！！ 它已经被钻研人员证实会影响 NLnet Labs 的Unbound，，， BIND，，， Knot Resolver 和 PowerDNS 等DNS 软件，，，当前蕴含 Google，，， Microsoft，，， Cloudflare，，， Amazon，，，Oracle（DYN），，， Verisign，，，IBM Quad9 和 ICANN 提供的 DNS 服务。！！！

攻击道理

攻击者能够通过自己搭建的恶意权威DNS服务器，，，利用有缝隙的递归DNS服务器，，，向受害者的权威DNS服务器提议DDoS反射放大攻击，，，据分析，，，放大倍数极限可达1620倍。！！！

影响版本:

Unbound 1.10.0 及之前版本

BIND 9.0.0 -> 9.11.18

BIND 9.12.0 -> 9.12.4-P2

BIND 9.14.0 -> 9.14.11

BIND 9.16.0 -> 9.16.2

BIND 支持预览版 9.9.3-S1 -> 9.11.18-S1

修复规划：：

建议升级到安全版本，，，好比

Unbound 1.10.1 或更新版本

BIND 9.11.19

BIND 9.14.12

BIND 9.16.3

BIND 支持预览版 9.11.19-S1

参考链接:

Unbound官方公告：：

https://www.nlnetlabs.nl/projects/unbound/security-advisories/

ISC BIND 官方公告

https://kb.isc.org/docs/cve-2020-8616

缝隙技术分析

http://www.nxnsattack.com/

北京234钱包网络技术有限公司

2020/05/27