低危 ISC BIND 9 krb5-subdomain and ms-subdomain更新策略漏洞

CVE编号

CVE-2018-5741

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-01-17
漏洞描述
ISC BIND是美国Internet Systems Consortium(ISC)公司所维护的一套实现了DNS协议的开源软件。

为了对使用动态DNS(DDNS)更新区域中的记录的能力提供细粒度控制,BIND提供了一个名为update-policy的功能。可以配置各种规则来限制客户端可以执行的更新类型,具体取决于发送更新请求时使用的密钥。不幸的是,有些规则类型最初没有记录,当它们的文档在变更#3112中添加到管理员参考手册(ARM)时,当时添加到ARM的语言错误地描述了两种规则类型的行为,krb5 -subdomain和ms-subdomain。这种不正确的文档可能会误导操作员相信他们配置的策略比实际更严格。
解决建议
目前没有详细的解决方案提供:
https://www.isc.org/downloads/bind/
参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html
http://www.securityfocus.com/bid/105379
http://www.securitytracker.com/id/1041674
https://access.redhat.com/errata/RHSA-2019:2057
https://kb.isc.org/docs/cve-2018-5741
https://security.gentoo.org/glsa/201903-13
https://security.netapp.com/advisory/ntap-20190830-0001/
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 isc bind * Up to
(excluding)
9.11.5
运行在以下环境
应用 isc bind * From
(including)
9.12.0 		Up to
(excluding)
9.12.3
运行在以下环境
系统 alibaba_cloud_linux_2.1903 bind * Up to
(excluding)
9.11.4-9.P2.1.al7
运行在以下环境
系统 alpine_3.6 bind * Up to
(excluding)
9.11.5-r0
运行在以下环境
系统 alpine_3.7 bind * Up to
(excluding)
9.11.5-r0
运行在以下环境
系统 alpine_3.8 bind * Up to
(excluding)
9.12.3-r0
运行在以下环境
系统 alpine_3.9 bind * Up to
(excluding)
9.12.3-r0
运行在以下环境
系统 amazon_2 bind * Up to
(excluding)
9.9.4-73.amzn2.1.2
运行在以下环境
系统 amazon_AMI bind * Up to
(excluding)
9.8.2-0.68.rc1.59.amzn1
运行在以下环境
系统 centos_7 bind * Up to
(excluding)
9.11.4-9.P2.el7
运行在以下环境
系统 debian_10 bind9 * Up to
(excluding)
9.11.5+dfsg-1
运行在以下环境
系统 debian_11 bind9 * Up to
(excluding)
9.11.5+dfsg-1
运行在以下环境
系统 debian_12 bind9 * Up to
(excluding)
9.11.5+dfsg-1
运行在以下环境
系统 fedora_27 bind-sdb * Up to
(excluding)
9.11.4-3.P2.fc27
运行在以下环境
系统 fedora_28 bind-sdb * Up to
(excluding)
9.11.4-10.P2.fc28
运行在以下环境
系统 fedora_29 bind-sdb * Up to
(excluding)
9.11.4-10.P2.fc29
运行在以下环境
系统 opensuse_Leap_15.1 bind * Up to
(excluding)
9.16.6-lp151.11.9.1
运行在以下环境
系统 opensuse_Leap_15.2 bind * Up to
(excluding)
9.16.6-lp152.14.3.1
运行在以下环境
系统 oracle_6 bind * Up to
(excluding)
9.8.2-0.68.rc1.0.3.el6_10.8
运行在以下环境
系统 oracle_7 bind * Up to
(excluding)
9.11.4-9.P2.el7
运行在以下环境
系统 redhat_7 bind * Up to
(excluding)
9.11.4-9.P2.el7
阿里云评分
2.7
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-863 授权机制不正确
阿里云安全产品覆盖情况