关于BIND可能导致放大反射攻击漏洞预警（CVE-2020-8616）

一、概要

近日，华为云关注到ISC官网发布BIND漏洞安全公告（CVE-2020-8616）。当DNS递归服务器在处理DNS请求时会向权威服务器请求解析结果，权威服务器可能会进行子域名委派，而BIND的原始设计并未充分限制处理委派响应的查询次数。恶意攻击者可以利用漏洞给DNS递归服务器回复一个巨大的委派列表，达到降低DNS递归服务器的性能，造成DNS放大攻击的目的。

目前该漏洞的发现团队也正式公开了漏洞信息，并将该类漏洞统一命名为NXNSAttack，详情请参考链接：

https://kb.isc.org/docs/cve-2020-8616

https://www.zdnet.com/article/nxnsattack-technique-can-be-abused-for-large-scale-ddos-attacks/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

BIND

9.0.0-> 9.11.18，

9.12.0-> 9.12.4-P2，

9.14.0-> 9.14.11，

9.16.0-> 9.16.2

9.17.0 -> 9.17.1 of the 9.17 experimental development branch

9.13 and 9.15 development branches

9.9.3-S1 -> 9.11.18-S1

安全版本：

BIND 9.11.19

BIND 9.14.12

BIND 9.16.3

BIND 9.11.19-S1

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://www.isc.org/download/

华为云Anti-DDoS流量清洗服务已具备针对DNS反射放大攻击攻击防御策略，可以覆盖此漏洞被利用后所产生的攻击流量。

注：修复漏洞前请将资料备份，并进行充分测试。