安全漏洞：CN-VA09-70
发布日期：2009年7月30日
漏洞类型：远程攻击
漏洞评估：严重
受影响的软件：
    安装或捆绑BIND 9的操作系统及相关产品。

漏洞情况：
    7月29日，CNCERT发布了关于域名系统软件BIND 9存在高危漏洞的情况通报。经进一步测试分析，CNCERT对漏洞危险性和影响范围作如下补充公告。
    目前确定除安装BIND 9的主权威服务器受影响外，在BIND 9配置文件(named.conf)中存在带有Master类型的区域记录（Zone）的从权威服务器和递归服务器也会受到影响。BIND 9在缺省安装情况下，会在配置文件中包含如下几个带有Master类型的区域记录：“local host”、“127.in-addr.arpa”、“0.in-addr.arpa”、“255.in-addr.apra”；而使用BIND 9的多数用户一般不会删除上述内容，因此该漏洞对我国域名服务器的影响范围十分广泛。

解决方案：
    使用BIND 9作为域名服务器的用户需高度重视该漏洞的危害，及时做好修补和防护工作，具体建议如下：
    1.测试证明BIND 9厂商目前提供的补丁程序是有效的，具备条件的用户应考虑升级；
    2.因故不能对服务器进行升级的，如不作为主权威服务器使用，可考虑修改配置文件，删除所有Master记录；
    3.对于没有启用动态更新的域名服务器，可使用防护设备拦截带攻击意图的动态更新数据包；
    4.对基于BIND 9二次开发的软件系统，用户可在代码层级作修改，消除隐患。

    各企业和个人用户如发现其他问题或需技术支持，请与CNCERT联系。

信息提供者：
    北京启明星辰信息技术有限公司
    北京神州绿盟科技有限公司 

文档编写：

CNCERT/CC
-----------------------------------------------------------------------------------

　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident

　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。

　　如果您发现本公告存在任何问题，请与我们联系： cncert@cert.org.cn