ISC 报告：

设计 DNS 协议时，前提条件是假设某指定区域内主服务器和辅助服务器的运算符之间存在一定的信任关系。但是在目前的实际做法中，部分组织在某些情况下，必须接受来自非完全信任来源的区域数据（例如辅助名称服务的提供者）。可向区域馈送数据（例如经由 AXFR、IXFR 或 Dynamic DNS 更新）的用户，可通过有意或无意耗尽服务器的内存造成接受数据的服务器超载。

根据安装的 bind 程序包版本，远程主机上的 EulerOS 安装会受到下列漏洞影响：- 为了通过使用 Dynamic DNS (DDNS) 以更新区域中记录的能力，提供细化控制，BIND 9 提供一种名为更新策略的功能。用户可配置多种规则，以限制可由客户端执行的更新类型，视发送更新要求时所使用的密钥而定。可惜的是，开始并未记录某些规则类型，并且当将这些记录添加到 Administrator Reference Manual (ARM) 的第 #3112 号时，此时添加到 ARM 的语言以错误的方式描述两种规则类型（krb5-subdomain 和 ms-subdomain）的行为。此错误的文件记录会让操作员误以为他们刚才所配置的策略比实际的策略存在更多的限制。这会影响 BIND 9.11.5 和 BIND 9.12.3 之前的 BIND 版本。(CVE-2018-5741) - 功能“managed-keys”可让 BIND 解析器自动维护信任锚所使用的密钥，运算符会将这些密钥配置为用于 DNSSEC 验证。由于 managed-keys 功能出错，如果在密钥滚动更新期间，信任锚的密钥被取代为使用不受支持算法的密钥，则使用 managed-keys 的 BIND 服务器可能会因为断言失败而结束。受影响的版本：BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P1、9.12.0 -> 9.12.3-P1，以及 BIND 9 支持的预览版的 9.9.3-S1 -> 9.11.5-S3 版。9.13 开发分支的 9.13.0 -> 9.13.6 版也会受到影响。BIND 9.9.0 之前的版本尚未针对到 CVE-2018-5745 的漏洞进行评估。(CVE-2018-5745) - 如果区域为以下受影响的可写入版本，区域传输控制可能无法正确地应用到动态加载区域 (DLZ)：BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P2、9.12.0 -> 9.12.3-P2，以及 BIND 9 支持的预览版的 9.9.3-S1 -> 9.11.5-S3 版。9.13 开发分支的 9.13.0 -> 9.13.6 版也会受到影响。BIND 9.9.0 之前的版本尚未针对到 CVE-2019-6465 的漏洞进行评估。(CVE-2019-6465) - 9.9.9-P1 及之前版本、9.10.x 到 9.10.4-P1，以及 9.11.x 到 9.11.0b1 的 ISC BIND 可让主要 DNS 服务器通过大型 AXFR 响应造成拒绝服务（辅助 DNS 服务器崩溃），而且可能会让 IXFR 服务器通过大型 IXFR 响应造成拒绝服务（IXFR 客户端崩溃），以及让经身份验证的远程用户通过大型 UPDATE 消息造成拒绝服务（主要 DNS 服务器崩溃）。(CVE-2016-6170) 请注意，Tenable Network Security 已直接从 EulerOS 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - ISC BIND 低于 9.9.9-P1 版、低于 9.10.4-P1 的 9.10.x 版、低于 9.11.0b1 的 9.11.x 版可让主要 DNS 服务器通过大型 AXFR 响应造成拒绝服务（辅助 DNS 服务器崩溃），而且可能会让 IXFR 服务器通过大型 IXFR 响应造成拒绝服务（IXFR 客户端崩溃），以及让经身份验证的远程用户通过大型 UPDATE 消息造成拒绝服务（主要 DNS 服务器崩溃）。(CVE-2016-6170)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

根据其自我报告的版本号，远程名称服务器上运行的 ISC BIND 安装受到内存耗尽漏洞的影响。如果服务器接受了来自其他源的区域数据，则可能会受到攻击，这是由于目前针对区域数据大小无限制所致。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程主机受到 GLSA-201610-07 中所述漏洞的影响（BIND：多个漏洞）

    在 BIND 中发现多个漏洞。请查看下方提及的 CVE 标识符，了解详细信息。
  影响：

    远程攻击者可通过多个攻击向量造成拒绝服务情况。
  变通方案：

    目前无任何已知的变通方案。

远程 Ubuntu 16.04 ESM 主机上安装的多个程序包受到 USN-5747-1 公告中提及的多个漏洞影响。

  - 当 lwresd 或 named lwres 选项启用时，ISC BIND 低于 9.9.9-P2 的 9.x 版、低于 9.10.4-P2 的 9.10.x 版以及低于 9.11.0b2 的 9.11.x 版允许远程攻击者通过使用轻量级解析器协议的长请求导致拒绝服务（守护程序崩溃）。(CVE-2016-2775)

  - ISC BIND 低于 9.9.9-P1 版、低于 9.10.4-P1 的 9.10.x 版、低于 9.11.0b1 的 9.11.x 版可让主要 DNS 服务器通过大型 AXFR 响应造成拒绝服务（辅助 DNS 服务器崩溃），而且可能会让 IXFR 服务器通过大型 IXFR 响应造成拒绝服务（IXFR 客户端崩溃），以及让经身份验证的远程用户通过大型 UPDATE 消息造成拒绝服务（主要 DNS 服务器崩溃）。(CVE-2016-6170)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
92832	FreeBSD：BIND、Knot、NSD、PowerDNS -- 因规模过大的区域传输触发的拒绝服务 (7d08e608-5e95-11e6-b334-002590263bf5)	Nessus	FreeBSD Local Security Checks	2016/8/10	2021/1/4	high
131607	EulerOS 2.0 SP2：bind (EulerOS-SA-2019-2453)	Nessus	Huawei Local Security Checks	2019/12/4	2024/4/8	medium
219837	Linux Distros 未修补的漏洞: CVE-2016-6170	Nessus	Misc.	2025/3/4	2025/9/4	medium
106679	ISC BIND 区域数据拒绝服务	Nessus	DNS	2018/2/8	2025/10/30	medium
93994	GLSA-201610-07：BIND：多个漏洞	Nessus	Gentoo Local Security Checks	2016/10/12	2021/1/11	high
168280	Ubuntu 16.04 ESM：Bind 漏洞 (USN-5747-1)	Nessus	Ubuntu Local Security Checks	2022/11/29	2025/9/3	medium

检测

插件搜索

high

medium

medium

medium

high

medium