发布日期：2001-02-02
更新日期：2001-02-02

受影响系统：

ISC BIND 8.2.3BETA
ISC BIND 8.2.2 p1 - p7
ISC BIND 8.2.2
ISC BIND 8.2.1
ISC BIND 8.2
ISC BIND 4.8
ISC BIND 4.8.3
ISC BIND 4.9.3
ISC BIND 4.9.4
ISC BIND 4.9.5
ISC BIND 4.9.5-P1
ISC BIND 4.9.6
ISC BIND 4.9.7

不受影响系统：

ISC BIND 9.1
ISC BIND 9.0
ISC BIND 8.2.3

描述：

---

BUGTRAQ  ID: 2321
CVE(CAN) ID: CVE-2001-0012

BIND是一个实现域名服务协议的服务器软件。它在Internet上被广为使用。
它存在一个安全漏洞，可能将内存的内容泄漏给远程攻击者。如果攻击
者能构造一个特殊的反向查询请求(inverse query),就可能导致内存内容
的泄漏。

所泄漏的内存是BIND进程的堆栈区，它储存有很多与执行相关的值，包括
保存的激活记录以及本地变量。攻击者也可以读取环境变量，获取系统信
息。攻击者也可能利用得到的这些内存信息来发动其他的攻击，例如针对
TSIG缓冲区溢出的攻击。

<*来源：Claudio Musmarra *>





建议：

---

厂商补丁：

ISC已经提供了新的BIND 8.2.3下载，您也可以下载BIND 9.0或9.1.

下载地址：
http://www.isc.org/products/BIND/bind8.html
http://www.isc.org/products/BIND/bind9.html


浏览次数：5643
严重程度：0（网友投票）