Key4 软件漏洞

　　DNS服务软件本身存在安全漏洞，导致DNS无法正常提供服务。

　　典型案例：

　　Bind 9漏洞导致.com无法正常解析

　　2011年3月底，我们陆续接到一些院校投诉其DNS解析服务存在故障，经常无法正常解析域名。最后查明是bind 9软件存在条件竞争漏洞导致的。

　　事件背景：

　　DNS安全扩展(DNSSEC)蜒是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)，它利用数字签名的技术来保证域名解析的权威性，以保证域名不受中间人的攻击或缓存污染。

　　Verisign公司——域名服务商，.com域名的实际维护者，DNSSEC协议的发起人之一。

　　Bind软件——DNS服务程序，目前网络上使用最广泛的DNS软件，教育网的占有率在90%以上。

　　事件回放：

　　1. ISC 在Bind8.1.x版本后开始支持DNSSec，并在Bind9版本后默认打开了DNSSec的查询，Bind 9.6-ESVR3之前的版本在实现DNSSEC查询的过程中存在一个条件竞争漏洞 ；

　　2. 2011年3月下旬，Verisign公司开始向13台根域名服务器发布.com域名的DNSSEC数据；

　　3. 根域名服务器上的DS数据诱发了Bind软件的漏洞，导致递归服务器的非DS请求有50%的几率被根服务认为是无效请求而返回SERVFAIL应答。这直接导致用户端访问.com的域名有一半的几率会失败；

　　4. 3月31号，ISC发布安全公告，并更新了Bind9软件。

　　事件分析：

　　1. DNS软件是否需要随时更新？

　　2. DNS软件更新机制。