취약점명 : CVE-2015-5477
동작결과 : Bind crash 상태로 빠짐 Bind 취약성 관련 공격 코드가 공개 되었으며 해당 코드를 통해 Bind 서버를 Crash 상태로 만들 수 있으므로 패치 또는 IPTABLES 명령으로 공격 코드 패킷을 DROP할 필요가 있습니다. 공격 받은 서버 측 로그 * BIND서버 LOG Aug 3 10:01:03 mail22 named[18373]: message.c:2311: REQUIRE(*name == ((void *)0)) failed Aug 3 10:01:03 mail22 named[18373]: exiting (due to assertion failure) # 해결방안1 BIND 업그레이드 취약버전 : - BIND 9.9.7-P1 및 이전의 9.x 버전, - BIND 9.10.2-P2 및 이전의 9.10.x 버전 해결방안 : - BIND 9.9.7-P1 및 이전의 9.x 버전은 9.9.7-P2로 업그레이드, - BIND 9.10.2-P2 및 이전의 9.10.x 버전은 9.10.2-P3로 업그레이드 # 해결방안2 (보안 패치 RPM 패키지가 없거나 바로 업그레이드가 불가능 한 경우) IPTABLES 로 통해 코드를 DROP (IPTABLES 에서 공격값인 TKEY Type 을 차단하여 방어) #iptables -A INPUT -p udp --dport 53 -m string --algo bm --hex-string '|00F900FF|' -j LOG #iptables -A INPUT -p udp --dport 53 -m string --algo bm --hex-string '|00F900FF|' -j DROP 관련 링크 -.http://dailysecu.com/news_view.php?article_id=10289 -.http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=23203 -.https://access.redhat.com/security/cve/CVE-2015-5477 -.https://github.com/robertdavidgraham/cve-2015-5477
