2010年1月19日,一个关于DNSSEC的DNS解析器弱点被公布。这个弱点会导致DNS服务器的验证解析服务器的缓存区污染。
此弱点可能影响到所有DNSSEC验证解析服务器。目前还没有针对次弱点的攻击并且由于现有缓存保护体系设计,攻击也会变得很难。
支持DNSSEC的所有Infoblox NIOS版本都存在以上所述的弱点。Infoblox补丁已经发布,启用DNSSEC的设备的请尽快升级到一下版本的NIOS:
- 5.0r1-2 (ETA, end of day on 1.20.2010 PST)
- 4.3r6-6 (posted as of 1.19.2010)
注意: 除了解决VU#360341,5.0r1-2还包括其他修复。任何客户运行5.0r1-0或5.0r1-1 的NIOS都应该升级NIOS 到 5.0r1-2(请参阅Infoblox最新的发行说明中的详细信息)。使用NIOS 5.0r1-0或5.0r1-1 并启用DNSSEC的设备必须升级,以解决DNSSEC的漏洞。
有关DNSSEC的弱点的内容可以在以下网站上查询到。
http://www.kb.cert.org/vuls/id/360341
http://www.kb.cert.org/vuls/id/418861
