English

◀◁ 뒤로 취약점ID 19071 위험도 40 포트 79 프로토콜 TCP,UDP 분류 DNS 상세설명 ISC BIND(Berkeley Internet Name Daemon)는 DNS (domain name service) 프로토콜을 구현한 서버 유틸리티로 인터넷 상에서 광범위하게 사용된다. BIND 서버의 버전 정보에 따르면, ISC BIND 9.10.5-P2 이전의 9.10.x 버전에는 다음과 같은 취약점이 존재한다. - 수신된 메시지를 다룰 때, ‘Transaction Signature (TSIG)’ 인증에 결합이 존재한다. 인증되지 않은 원격 공격자는 특수 제작된 요청 패킷을 통해, AXFR 요청의 TSIG 인증을 우회하기 위하여, 이 취약점을 악용할 수 있다. 해당 이슈를 악용하기 위해서는, 공격자는 반드시 정당한 권한을 가진 DNS 서버에 메시지를 송수신 할 수 있어야 하고, 유효한 TSIG 키 이름을 알아야 한다. (CVE-2017-3142) - 수신된 메시지를 다룰 때, ‘Transaction Signature (TSIG)’ 인증에 결합이 존재한다. 인증되지 않은 원격 공격자는 BIND가 인가받지 않은 동적 업데이트가 허용하도록 조작하기 위해 이 취약점을 약용할 수 있다. 해당 이슈를 악용하기 위해서는, 공격자는 반드시 정당한 권한을 가진 DNS 서버에 메시지를 송수신 할 수 있어야 하고, 타겟이 되는 존과 서비스에 대한 유효한 TSIG 키 이름을 알아야 한다. (CVE-2017-3143) * 참고 사이트: https://kb.isc.org/article/AA-01503 https://kb.isc.org/article/AA-01504 https://kb.isc.org/article/AA-01505 https://kb.isc.org/article/AA-01506 https://kb.isc.org/article/AA-01507 https://kb.isc.org/article/AA-01508 https://kb.isc.org/article/AA-01509 * 영향을 받는 플랫폼: Internet Software Consortium, BIND version 9.10.x < 9.10.5-P2 Any operating system Any version 해결책 Internet Software Consortium (ISC) 웹 사이트인 http://www.isc.org/downloads/BIND/ 에서 구할 수 있는 BIND의 가장 최신 버전(9.10.5-P2 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2017-3142,CVE-2017-3143 (CVE) 관련 URL 99337,99339 (SecurityFocus) 관련 URL (ISS)