BIND4와 BIND8의 원격 다중 취약점

테스트용도로 8.x대를 사용했는데 9.x대로 바꿔야겠군요....흠흠..
8.x대엔 모두해당된다고 하니 주의하시기 바랍니다.

--------------------------------------------------------------------

BIND 취약점은 이미 상당수 알려져 있고, 이를 이용한 인터넷 웜들(Li0n
Worm, Red Worm 등)도 국내에 많은 피해를 입혔습니다.
BIND4와 BIND8에서 새로운 버퍼오버플로우 취약점과 서비스거부공격 취약점이
발견되어 주의를 요하고 있습니다.
아직 이 취약점들에 대한 공격코드들은 알려져 있지 않은 상태이지만, ISC에
서는 최신 버전인 BIND 9.2.1로 업그레이드 하도록 강력히 권고하고 있습니다.

새로이 발견된 BIND 취약점은 아래와 같습니다.

======================
KA-2002-90 : Remote Vulnerabilities in BIND4 and BIND8
----------------------

최초작성일 : 2002-11-13
갱 신 일 :
출 처 : http://www.ciac.org/ciac/bulletins/n-013.shtml
작 성 자 : 정현철(hcjung@certcc.or.kr)

-- 제목 --------------
BIND4와 BIND8의 원격 다중 취약점들

-- 해당 시스템 --------
BIND 4.9.5 - 4.9.10
BIND 8.1, 8.2 - 8.2.6, 8.3.0 - 8.3.3

--영향-----------------
취약한 DNS 서버에 원격 침입 및 서비스거부공격이 가능하다.

-- 설명---------------

1. BIND SIG Cached RR 버퍼오버플로우 취약점

SIG resource records(RR)를 포함하는 DNS 응답 작성 과정에 버퍼오버플로우
취약점이 존재하여 named 권한으로 임의의 명령 수행이 가능하다.

2. BIND 다중 서비스거부공격 취약점

클라이언트가 존재하지 않는 subdomain에 대한 DNS lookup 요청을 할 경우 대
규모 UDP를 가진 OPT RR을 첨부하게 되어, BIND 8 서버들이 갑자기 멈출 수
있다.(BIND 8.3.0 - 8.3.3에서 취약함)

또한, 유효하지 않는 만료 기간을 가진 SIG RR을 캐쉬하고자 할때 BIND는 내
부 DB에서 이를 제거하지만 나중에 부적절하게 재참고(de-feference)되고 이
로 인해 서비스거부상태가 유발될 수 있다.(BIND 8.2 - 8.2.6, BIND 8.3.0 -
8.3.3에서 취약함)

-- 해결책---------------

1. BIND 9.2.1로 업그레이드 한다.
ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

2. 임시조치로 recursive 기능이 필요 없다면 이를 중지시킨다.

BIND 8에서는 named.conf 파일에 다음과 같이 설정한다.

options {
recursion no;
};

BIND 4에서는 named.boot 파일에 다음과 같이 설정한다.

options no-recursion

------- 참조 사이트 --------------------------
http://www.ciac.org/ciac/bulletins/n-013.shtml
http://www.isc.org/products/BIND/bind-security.html
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
--------------------------------------------