详述 ISC BIND 服务器中的信息泄露漏洞

最新推荐文章于 2024-07-28 16:43:46 发布
最新推荐文章于 2024-07-28 16:43:46 发布
阅读量2.5k 收藏 1
点赞数
文章标签: 网络 安全 信息安全 安全漏洞 olap
原文链接:https://codesafe.qianxin.com/#/home
版权
本文揭示了ISC BIND DNS服务器中的两个安全漏洞:一个信息泄露漏洞和一个远程代码执行漏洞。漏洞影响早期版本,可通过SPNEGO请求触发,可能导致数据泄露并可能被利用执行任意代码。建议用户及时更新到已修复版本以保障系统安全。
摘要由CSDN通过智能技术生成

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

去年,趋势科技 ZDI 收到了关于 ISC BIND 服务器中存在一个远程代码执行漏洞的漏洞报告。之后,这名匿名研究员再次提交了位于这个流行的 DNS 服务器中的另一个bug。和第一个 bug 一样,第二个 bug 也存在于 Simple 和 Protected GSSAPI 谈判机制 (SPNEGO) 组件中,且位置和之前提交的漏洞报告中提到的一样。厂商将第二个 bug 评估为低危漏洞,因此并非分配任何 CVE 编号或安全公告。然而,该 bug 实际上仍然值得进一步审查。

该漏洞影响早于 9.11.31 和9.16.15 之前的 BIND 版本,可遭远程触发且无需认证,可导致在堆内存上的界外 (OOB) 读取并将信息泄露给远程攻击者。攻击者还可能利用该漏洞和之前提交的漏洞在受影响 BIND 服务器上执行任意代码。

漏洞详情

产生该漏洞的根因在于 der_match_tag_and_length() 函数,用于匹配标记并从网络包中获得如下的长度字段。从 BIND 中 der_get_length() 的正常用途来看,解析的长度字段 length_ret 应该被调用程序进行验证。然而, der_match_tag_and_length() 是例外之一。

static int 
der_match_tag_and_length(const unsigned char *p, size_t len, Der_class xclass, 
                         Der_type type, int tag, size_t *length_ret, 
                         size_t *size) { 
    size_t l, ret = 0; 
    int e; 
 
    e = der_match_tag(p, len, xclass, type, tag, &l); 
    if (e) { 
        return (e); 
    } 
    p += l; 
    len -= l; 
    ret += l; 
    e = der_get_length(p, len, length_ret, &l);  // (1) 
    if (e) { 
        return (e); 
    } 
    /* p += l; */ 
    len -= l; 
    POST(len); 
    ret += l; 
    if (size) { 
        *size = ret; 
    } 
    return (0); 
}

位于 (1)处的length_ret 是受控的且并未得到验证。来看下 der_match_tag_and_length() 的调用程序之一:

OM_uint32 
gss_accept_sec_context_spnego(...) 
{ 
// ... 
    ret = der_match_tag_and_length(buf, buf_size, ASN1_C_CONTEXT, CONS, 0, 
                                   &len, &taglen); 
    if (ret) { 
        return (ret); 
    } 
 
    ret = decode_NegTokenInit(buf + taglen, len, &init_token, &ni_len);  // (2) 
// ... 
}

不可信的 len 之后用于解码位于 (2) 处的 negTokenInit。Decode_NegTokenInit() 中的很多检查都基于 len。当前这些检查是不正确的,可导致在不同子字段(如mechTypes、reqFlags、mechToken等)上的 OOB 访问权限。

漏洞触发

用于复现该 bug 的配置和第一个 bug 一样。如下截屏是为该 bug 构造的 SPNEGO 请求。

位于 (1) 处的 length_ret 从偏移量 0xa5 as 0x91929394 受控。子字段 mechToken 是一个十进制字符串,它的长度是构造的值 0x727374,出现在偏离量 0xcd 处。

收到这个构造的请求后,在处理字段 mechToken 过程中触发 OOB。如下调用栈基于 BIND 版本 9.16.13。

#0  __memmove_avx_unaligned_erms at ../sysdeps/x86_64/multiarch/memmove-vec-unaligned-erms.S:494 
#1  der_get_octet_string at spnego.c:830 
#2  decode_octet_string at spnego.c:1015 
#3  decode_NegTokenInit at spnego_asn1.c:607 
#4  gss_accept_sec_context_spnego at spnego.c:593 
#5  dst_gssapi_acceptctx at gssapictx.c:730 
#6  process_gsstkey at tkey.c:551 
#7  dns_tkey_processquery at tkey.c:882 
#8  ns_query_start at query.c:11653 
#9  ns__client_request at client.c:2169 
#10 isc__nm_async_readcb at netmgr.c:1861 
#11 isc__nm_readcb at netmgr.c:1836 
#12 processbuffer at tcpdns.c:997 
#13 process_sock_buffer at tcpdns.c:1639 
#14 read_cb at tcpdns.c:1060 
...

利用路径

在受影响服务器上造成数据泄露的方法可能如下。

OM_uint32 
gss_accept_sec_context_spnego(...) 
{ 
// ... 
    ret = decode_NegTokenInit(buf + taglen, len, &init_token, &ni_len); 
    if (ret) { 
        *minor_status = EINVAL; /* XXX */ 
        return (GSS_S_DEFECTIVE_TOKEN); 
    } 
 
    for (i = 0; !found && i < init_token.mechTypes.len; ++i) { // (3) 
        unsigned char mechbuf[17]; 
        size_t mech_len; 
 
        ret = der_put_oid(mechbuf + sizeof(mechbuf) - 1, 
                          sizeof(mechbuf), &init_token.mechTypes.val[i], 
                          &mech_len); 
        if (ret) { 
            free_NegTokenInit(&init_token); 
            return (GSS_S_DEFECTIVE_TOKEN); 
        } 
        if (mech_len == GSS_KRB5_MECH->length && 
                isc_safe_memequal(GSS_KRB5_MECH->elements, 
                                  mechbuf + sizeof(mechbuf) - mech_len, 
                                  mech_len)) 
        { 
            found = 1; 
            break; 
        } 
        if (mech_len == GSS_MSKRB5_MECH->length && 
                isc_safe_memequal(GSS_MSKRB5_MECH->elements, 
                                  mechbuf + sizeof(mechbuf) - mech_len, 
                                  mech_len)) 
        { 
            found = 1; 
            if (i == 0) { 
                pref = GSS_MSKRB5_MECH; 
            } 
            break; 
        } 
    } 
 
    if (!found) { 
        free_NegTokenInit(&init_token); 
        return (send_reject(minor_status, output_token)); // (5) 
    } 
// ... 
ret = send_accept(&minor_status2, output_token, ot, pref);  // (4) 
// ... 
}

Decode_NegTokenInit() 解析 negTokenInit 及其子字段后,(3) 处的循环在被解析的 mechTypes 过程中搜索有效的 OIDs。如找到合法的 OID,则服务器以在 (4) 处的接收信息响应。否则,服务器以位于 (5) 处的拒绝信息响应。这就使得我们能够为某些堆块获得偏移量。很有可能可以结合利用之前提交的对缓冲区溢出漏洞实施利用但需要更多的研究工作。

补丁

从版本9.16.15开始,SPNEGO 的 ISC 实现就从 BIND 9 源代码删除。BIND 9 当前总是使用系统 GSSAPI 库提供的 SPNEGO 实现。鉴于此,相关漏洞也别删除,这一功能变化也适用于版本9.1.1.31。

用户应当确保目前使用的是已修复 BIND 版本,因为很多 OS 发行版本提供的 BIND 包不同于官方发布的 ISC 发布版本。具体而言,某个发行版本常常会为 BIND 程序包选择稳定的基准版本,之后选择性地为他们认为应当包含的漏洞应用所选补丁。这样做的后果之一是,即使版本号不同(而且很可能)小于 ISC 已修复的版本号,但 BIND 中可能包含修复方案。

结论

ISC BIND 是互联网上最流行的 DNS 服务器,其影响范围很大,尤其是在该漏洞可被远程触发且无需认证的情况下更是如此。建议所有用户尽快更新 DNS 服务器。这名匿名研究员还报告了存在于 TKEY 查询处理过程中的一个远程代码执行漏洞,最近也已被修复。

推荐阅读

BIND DNS 软件受高危漏洞影响 易遭 DoS 攻击

BIND 安全漏洞导致 DNS 服务器崩溃

DNS软件BIND遭受严重的DOS漏洞影响

原文链接

https://www.zerodayinitiative.com/blog/2021/6/15/zdi-21-502-an-information-disclosure-bug-in-isc-bind-server

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 5334
现场的为小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其,Coyote作为Tomcat的。
dns设置服务器版本信息,DNS服务器 BIND9 的版本选择
weixin_42310558的博客
08-06 687
BIND 主版本有4种:Stable, Development, Extended Support (ESV), and Subscription.BIND 当前的代码基于 BIND 9。BIND 9 有4个主版本。主版本分支范例如,BIND 9.12 、 BIND 9.13。每个主分支都有一系列小版本,比如 BIND 9.12.0、9.12.1 etcetera。 每个小分支的change文件...
Service内部类Binder造成的内存泄漏
jessecode的博客
01-04 3744
前言 我写了一个基础的绑定service,参考Android documentation,但是点击按钮解绑的时候LeakCanary告诉我内存泄漏了。。。 Code // ITest.aidl package com.jesse.first.aidl; interface ITest { int getData(); void setData(int i); } //MyService.java package com.jesse.first; import android.app.S
安全提示——ISC BIND再曝多个安全漏洞
域名国家工程研究中心(ZDNS)的博客
09-23 1749
近日,由美国互联网系统协会(ISC)负责开发和维护的域名解析服务软件BIND再次曝出多个安全漏洞,涉及恶意使用新增权限、造成目标服务异常结束、查询数据包触发异常等诸多安全问题。频发的安全问题,也让用商业DNS设备替代免费开源产品成为业界的共识。 主要漏洞及影响版本包括: CVE-2020-8620:BIND 9.15.6版本至9.16.5版本,9.17.0版本至 9.17.3版本存在安全漏洞,攻击者可通过向TCP端口发送大量未认证的数据包利用该漏洞造成拒绝服务。 CVE-2020-8621:BIND
ISC BIND伪来源IP地址DNS远程攻击漏洞 处理方案
最新发布
zengliguang的专栏
07-28 543
不同的漏洞可能有特定的处理要求,建议参考 ISC 官方针对具体漏洞发布的详细修复指南和建议。同时,随时关注安全领域的最新动态,以便及时应对新出现的安全威胁。例如,对于特定的 ISC BIND 拒绝服务漏洞(CVE-2020-8617),官方于 2020 年 5 月 22 日收录该漏洞,攻击者可利用此漏洞使 bind 域名解析服务崩溃。
ISC BIND CVE-2020-8617高危漏洞分析
张舵主的专栏
06-14 3537
2020年5月22日,国家信息安全漏洞共享平台(CNVD)https://www.cnvd.org.cn 收录了DNS BIND拒绝服务漏洞(CNVD-2020-29429,对应CVE-2020-8617)。攻击者利用该漏洞,可使BIND域名解析服务崩溃。 目前,该漏洞的利用代码已公开,github有相关漏洞的教学演示,点击链接 ISC官网对此漏洞的详细说明点击链接,ISC对此漏洞的描述如下: 攻击者可能利用BIND代码的错误检查包含TSIG资源记录的消息的有效性,从而在tsig.c触发断言失败,从
BIND DoS漏洞分析
嬴政
08-06 5103
防护方案:BIND DoS漏洞分析 近日,互联网系统协会ISC 发布紧急补丁(CVE-2015-5477),修复隐藏在开源软件BINDnamed的严重安全漏洞。远程攻击者通过发起畸形的TKEY查询,可对DNS服务器造成DoS拒绝服务。BIND是目前部署在域名服务器应用广泛的开源软件之一,支持各种 UNIX 平台和 Windows 平台  原文地址:http://www.panshy.com
ISC发布DNS软件BIND更新 修复其数个可远程利用的DoS漏洞 CVE-2017-3136 3137 3138
weixin_34198583的博客
09-01 1613
在2016年,BIND曾经出现过两次漏洞。绿盟科技发布ISC BIND 9 DoS漏洞技术分析与防护方案,BIND9 DoS漏洞CVE-2016-8864 绿盟科技发布技术分析与防护方案 北京有1435台设备受影响。本周,互联网系统协会(ISC)又发布了DNS软件BIND更新,修复了可远程利用的数个拒绝服务漏洞BIND 9.9.9-P8、9.1...
CIS ISC BIND DNS服务器安全加固最佳实践
"CIS ISC BIND DNS Server 9.9 Benchmark v3.0.1 是一份针对 ISC BIND DNS 服务器安全强化指南,它提供了一系列最佳实践建议,以保护 DNS 服务免受潜在威胁。这份文档主要关注于规划与架构、权限和所有权限制以及...
使用 bind 设置 DNS 服务器的方法
09-14
Bind9 是一个开源的 DNS 服务器软件,广泛应用于 Linux 系统,尤其在需要自定义域名解析或者管理网络环境时,Bind9 是一个非常强大的工具。DNS(域名服务器)是互联网的核心组成部分,它负责将人类可读的域名转换...
CIS_ISC_BIND_DNS_Server_9.9_Benchmark_v3.0.1.pdf
09-11
1.5 Installing ISC BIND 9 (Scored) ................................................................................................... 17 2 Restricting Permissions and Ownership .........................
绿盟科技发布ISC BIND 9 DoS漏洞技术分析与防护方案
weixin_33737774的博客
09-01 431
高危漏洞通告 BIND最新漏洞将导致DoS攻击 绿盟科技发布预警通告之后,绿盟科技发布技术分析与防护方案。全文如下: ISC互联网系统协会(Internet Systems Consortium)官网发布了一个安全通告,公布了编号为CVE-2016-2776的漏洞及其修复情况。该漏洞位于文件buffer.c,当程序在为精心构造的查询请求构建响应包时会...
BIND 9 软件漏洞影响 DNS 服务器
weixin_33937499的博客
06-08 267
攻击者正利用广泛使用的 BIND 软件漏洞对 DNS 服务器发动拒绝服务攻击。 漏洞影响所有版本的 BIND 9 软件,能被一个简单的数据包利用,瘫痪递归 DNS 服务器和权威 DNS 服务器安全公司 Sucuri 的 CTO Daniel Cid 称,利用该漏洞的攻击已经开始出现。DNS 域名解析服务是互联网基础设施的重要部分,DNS 服务器瘫痪可能...
glibc 源码分析
zhixingheyi_tian的博客
07-20 1426
glibc
计算机网络 ISC BIND的下载及打开
zth_idea的博客
11-28 1412
一、前言 我们计算机网络实验五第一步要求使用ISC’s BIND,然后使用dig命令来查看DNS的路径,在我刚看这个要求的时候,我为了下载这个BIND忙活了半天,还是没有找到下载的方法,因为官网的DOWNLOAD页面没有直接给出下载地址。后来根据同学的提示,找到了下载路径,并且找到了比较简单的方法在本次实验使用BIND。 二、下载方法 我们直接打开ISC的官网,网址如下:http://www.isc.org/。 然后我们点击DOWNLOAD,进入下载页面。 比较迷惑的是,这里并没有直接的下载地址,不过
ubuntu使用websocketpp客户端,碰到 ../sysdeps/x86_64/multiarch/memmove-vec-unaligned-erms.S: 没有那个文件或目录
Bruce Che 的专栏
07-19 2971
ubuntu使用websocketpp客户端,碰到 ../sysdeps/x86_64/multiarch/memmove-vec-unaligned-erms.S及解决过程记录。
记一次空迭代器导致的崩溃分析
随手写下笔记和感悟
04-12 569
时失败,留意一下那些敏感参数值:error、null、none-reference之类的,包括可疑的内存地址。这个崩溃的是段错误,起初以为是并发访问的问题,后来验证不是。这里其实也是我的失误,当看到空指针、空引用的那一刻起,就应该立刻追溯这些空值的传递。看到这个复杂的模板不用怕,直接丢给GPT,不过这里没必要,确实没有什么有效信息,这里看不出什么有效信息,所以我们继续看参数是怎么传递过来的,特别是。其实这个判空前面是一直留了个心眼的,偷懒没加,隔太久忘了。的值,我们要再进一步分析它们的作用。
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)
visket2008的专栏
10-18 2460
本文将长期更新基于centos7环境引起的操作系统、java、node、python等相关的漏洞修复解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值