发布日期：2010-01-19
更新日期：2010-01-20

受影响系统：

    ISC BIND 9.6.x
    ISC BIND 9.5.x
    ISC BIND 9.4.x
    ISC BIND 9.3.x
    ISC BIND 9.2.x
    ISC BIND 9.1.x
    ISC BIND 9.0.x

不受影响系统：

    ISC BIND 9.6.1-P3
    ISC BIND 9.5.2-P2
    ISC BIND 9.4.3-P5

描述：BUGTRAQ  ID: 37865
CVE(CAN) ID: CVE-2010-0097

BIND是一个应用非常广泛的DNS协议的实现，由ISC负责维护，具体的开发由Nominum公司完成。

BIND 9的DNSSEC验证代码中的安全漏洞可能允许攻击者生成伪造的NXDOMAIN响应，而向解析器缓存中添加了伪造的NXDOMAIN记录会导致之后的查询都会返回设置了AD标志的伪造NXDOMAIN，这是一种缓存中毒的情况。

DNS缓存中毒指的是更改了DNS服务器的DNS缓存中某项，这样缓存中与主机名相关的IP地址就不再指向正确的位置。例如，如果 www.example.com映射到IP地址192.168.0.1且DNS服务器的缓存中存在这个映射，则成功向这个服务器的DNS缓存投毒的攻击者就可以将www.example.com映射到10.0.0.1。在这种情况下，试图访问www.example.com的用户就可能与错误的Web服务器联络。

由于所实施的缓存中毒防护措施，这个漏洞较难利用，但会影响DNSSEC对安全区中拒绝服务攻击的防护。

<*来源：ISC
 
  链接：https://www.isc.org/advisories/CVE-2010-0097
        http://www.kb.cert.org/vuls/id/360341
*>

建议：厂商补丁：

ISC
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.isc.org/isc/bind9/9.5.1-P2/bind-9.5.1-P2.tar.gz
ftp://ftp.isc.org/isc/bind9/9.4.3-P5/bind-9.4.3-P5.tar.gz
ftp://ftp.isc.org/isc/bind9/9.6.1-P3/bind-9.6.1-P3.tar.gz