Lỗ hổng phần mềm bảo mật của BIND bị khai thác cho tấn công DoS

Linh Anh| 10/08/2018 13:57
Theo dõi ICTVietnam trên

Tổ chức phi lợi nhuận ISC (Internet Systems Consortium) cho biết phần mềm BIND DNS đã bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể bị khai thác cho các cuộc tấn công DoS

Lỗ hổng do Tony Finch thuộc đại học Cambridge phát hiện, có mã định danh là CVE-2018-5740, có thể bị khai thác từ xa và có điểm số CVSS là 7,5, được xếp vào loại "mức độ nghiêm trọng cao".

Tuy nhiên, lỗ hổng chỉ ảnh hưởng tới những máy chủ bật tính năng được gọi là “từ chối trả lời bí danh (deny-answer-aliases)”. Tính năng này mặc định là tắt.

Tính năng “deny-answer-aliases” được thiết kế nhằm giúp các nhà khai thác máy chủ bảo vệ người dùng khỏi các cuộc tấn công DNS rebinding. Loại tấn công này cho phép tin tặc lợi dụng trình duyệt web của người dùng được lấy làm mục tiêu để giao tiếp trực tiếp với các thiết bị trên mạng nội bộ và khai thác bất kỳ lỗ hổng nào mà chúng nắm được

 ISC cho biết: “Việc lỗ hổng này bị kích hoạt dù có chủ ý hoặc vô tình sẽ gây ra lỗi xác nhận INSIST, khiến quá trình đặt tên bị dừng hoạt động, dẫn đến việc từ chối dịch vụ khách hàng”.

Lỗ hổng bảo mật ảnh hưởng tới các phiên bản BIND từ 9.7.0 đến 9.8.8;  9.9.0 đến 9.9.13; 9.10.0 đến 9.10.8; 9.11.0 đến 9.11.4; 9.12.0 đến 9.12.2, và 9.13.0 đến 9.13.2. Bản vá có trong các phiên bản 9.9.13-P1, 9.10.8-P1, 9.11.4-P1 và 9.12.2-P1. Để khắc phục vấn đề này, ISC đề xuất giải pháp vô hiệu hóa tính năng có vấn đề nếu nó đã được sử dụng.

Theo ISC: “Hầu hết các nhà khai thác không cần phải thực hiện bất kỳ thay đổi nào trừ khi họ đang sử dụng tính năng “deny-answer-aliases”, được tắt theo mặc định; chỉ những cấu hình chủ định bật tính năng này mới bị ảnh hưởng bởi lỗ hổng”.

Tổ chức này cũng cho biết, hiện chưa phát hiện có bất kỳ trường hợp nào bị khai thác lỗ hổng này cho các mục đích xấu. Người dùng có nguy cơ bị ảnh hưởng đã được báo trước về lỗ hổng vào ngày 31/7.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Văn hóa đổi mới sáng tạo: Khuyến khích khám phá, khoan dung thất bại
    Theo Bộ trưởng Bộ KH&CN Nguyễn Mạnh Hùng, Ngày 21/4 vừa là Ngày Sáng tạo và Đổi mới toàn cầu vừa cũng là Ngày Văn hóa đổi mới sáng tạo Việt Nam. Bộ trưởng nhấn mạnh: “Xây dựng văn hóa đổi mới sáng tạo, khuyến khích khám phá, khoan dung thất bại”.
  • Để đổi mới sáng tạo không bị cản trở, mà được khơi thông và lan tỏa
    Theo Bộ trưởng Bộ KH&CN Nguyễn Mạnh Hùng: "Chúng ta cần tạo ra một hệ sinh thái ĐMST mà ở đó, doanh nghiệp có thể cải tiến sản phẩm phù hợp với thị trường trong nước, người dân có thể sáng tạo trong điều kiện thực tế của mình, nhà nước hỗ trợ môi trường, thể chế và động lực để đổi mới sáng tạo không bị cản trở, mà được khơi thông và lan toả".
  • Đổi mới sáng tạo - Doanh nghiệp tiên phong - Quốc gia thịnh vượng
    Năm 2017, Đại hội đồng Liên hợp quốc đã chọn ngày 21/4 hằng năm là Ngày Sáng tạo và Đổi mới sáng tạo thế giới với mục đích nhằm nâng cao nhận thức về vai trò của sáng tạo và đổi mới sáng tạo trong phát triển kinh tế, xã hội và phát triển bền vững.
  • 75 năm thành lập Hội Nhà báo Việt Nam: Những truyền thống vẻ vang
    Cách đây 75 năm, ngày 21/4/1950, tại xóm Roòng Khoa, xã Ðiềm Mặc, huyện Ðịnh Hóa, tỉnh Thái Nguyên đã diễn ra Đại hội thành lập Hội Những người viết báo Việt Nam, nay là Hội Nhà báo Việt Nam.
  • Báo chí trong bối cảnh bùng nổ mạng xã hội và chuyển đổi số
    Báo chí là một trong những loại hình phương tiện truyền thông đại chúng hiện đại. Các tác phẩm, sản phẩm báo chí luôn phải mang đến công chúng những giá trị thông tin thời sự, chân thật, khách quan về các sự kiện, vấn đề diễn ra trong đời sống xã hội. Dù trong bối cảnh phát triển nào thì các loại hình báo chí vẫn đóng vai trò quan trọng là phương tiện truyền thông chủ lực, thiết yếu dẫn dắt, định hướng dư luận xã hội.
Đừng bỏ lỡ
Lỗ hổng phần mềm bảo mật của BIND bị khai thác cho tấn công DoS
POWERED BY ONECMS - A PRODUCT OF NEKO