一、概要

近日，華為云關(guān)注到ISC官網(wǎng)發(fā)布BIND漏洞安全公告（CVE-2020-8616）。當(dāng)DNS遞歸服務(wù)器在處理DNS請求時(shí)會向權(quán)威服務(wù)器請求解析結(jié)果，權(quán)威服務(wù)器可能會進(jìn)行子域名委派，而BIND的原始設(shè)計(jì)并未充分限制處理委派響應(yīng)的查詢次數(shù)。惡意攻擊者可以利用漏洞給DNS遞歸服務(wù)器回復(fù)一個(gè)巨大的委派列表，達(dá)到降低DNS遞歸服務(wù)器的性能，造成DNS放大攻擊的目的。

目前該漏洞的發(fā)現(xiàn)團(tuán)隊(duì)也正式公開了漏洞信息，并將該類漏洞統(tǒng)一命名為NXNSAttack，詳情請參考鏈接：

https://kb.isc.org/docs/cve-2020-8616

https://www.zdnet.com/article/nxnsattack-technique-can-be-abused-for-large-scale-ddos-attacks/

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

BIND

9.0.0-> 9.11.18，

9.12.0-> 9.12.4-P2，

9.14.0-> 9.14.11，

9.16.0-> 9.16.2

9.17.0 -> 9.17.1 of the 9.17 experimental development branch

9.13 and 9.15 development branches

9.9.3-S1 -> 9.11.18-S1

安全版本：

BIND 9.11.19

BIND 9.14.12

BIND 9.16.3

BIND 9.11.19-S1

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

下載地址：https://www.isc.org/download/

華為云Anti-DDoS流量清洗服務(wù)已具備針對DNS反射放大攻擊攻擊防御策略，可以覆蓋此漏洞被利用后所產(chǎn)生的攻擊流量。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。