BIND Control Channel Denial of Service 관련 이슈

BIND (Berkeley Internet Name Domain) 는 도메임 이름을 IP 주소로 변환하고 일반적으로 Linux 서버에서 사용되는 인기있는 소프트웨어이고,  ISC (Internet Systems Consortium)에 의해 관리되고 있습니다.
서비스 거부(DoS)취약점은 ISC에서 설명한대로 BIND 명명된 서비스에 존재합니다.

 

BIND 9.11.0은 명령 채널에서 “읽기 전용” 명령을 허용하는 새로운 옵션을 도입했습니다.
이 제한을 사용하여 서버는 지정된 클라이언트가 서버의 작동 상태에 영향을 미치지 않고, 정보만 반환하는 제어 채널 명령(예:”rndc status”)을 제공하도록 제한 할 수 있습니다.

 

그러나 이 권고사항에 설명된 결함은 “읽기 전용”제한으로 인해 제대로 중지 되지 않으며, 본질적으로 제한된 “읽기 전용” 작업만 허용 해야하는 클라이언트가 서버를 중지하게 하는 권한 상승을 허용합니다.

 

 

이 취약점은 CVE-2017-3138로 지정되었습니다.
원격의 인증된 공격자는 조작된 제어 채널 메시지를 보내어 이 취약점을 악용 할 수 있습니다.
공격이 성공하면 BIND라는 서비스가 종료됩니다.

 

이러한 취약점에 대응하기 위한 방안으로는 다음과 같습니다.
- 관리자는 BIND를 최신 버전으로 업그레이드 해야합니다.
- CVE-2017-3136 : DNS64와 “break-dnssec yes:” 설정을 동시에 사용하지 않도록 조치 해야합니다.

 

오늘은 BIND Control Channel Denial of Service관련 이슈에 대한 내용으로 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.