ISC에서 BIND 9 모든 버전에 대한 동적 업데이트 취약점을 발표하였습니다.

이 취약점은, 특정한 동적 업데이트(dynamic update) 메세지를 마스터 DNS서버로 보내면, 마스터 DNS 서버가 종료되는 취약점입니다. 슬레이브 서버는 이 공격에 영향을 받지 않습니다.

prerequisite section의 동적 업데이트 메세지가 ANY 타입이며, 서버에 존재하는 FQDN에 대한 RRset 을 1개 이상 포함할 경우, dns_db_findrdataset() 함수가 실패하며 비정상적으로 BIND가 종료됩니다.

동적 업데이트 기능을 사용하는 경우, 마스터 서버는 모두 이 취약점에 노출되어 있습니다. PoC와 익스플로잇 모두 공개되었으며, ACL을 이용해 공격을 막을 수 있는 방법은 없습니다. 즉시 아래 버전으로 업데이트 하시기 바랍니다.

• BIND 9.6.1-P1


• BIND 9.5.1-P3


• BIND 9.4.3-P3

동적 업데이트를 사용하지 않는 경우 이번 취약점과 무관합니다.

CVE-2009-0696

 * 참고URL : http://www.nchovy.kr/forum/2/article/473