F5 Networks BIG-IP:Unbound DNS 快取弱點 (K37661551)
high Nessus Plugin ID 138233
語系:
概要
The remote device is missing a vendor-supplied security patch.說明
CVE-2020-12662在 1.10.1 之前版本的 Unbound 中,存在網路訊息量控制不充分的問題,即「NXNSAttack」問題。這是由 NS 記錄中 NSDNAME 中的隨機子網域所觸發。
CVE-2020-12663 Unbound 1.10.1 之前版本會透過從上游伺服器接收的格式錯誤的 DNS 回應造成無限迴圈。
影響
BIG-IP 系統上有三種類型的 DNS 快取組態可供使用:透明快取,解析器快取和驗證解析器快取。只有授權用於 DNS 服務並使用 DNS 快取功能的 BIG-IP 系統才會受到影響。
請注意:
只有在您針對 DNS 服務進行 BIG-IP 系統授權時,DNS 快取功能才可使用,但您無須在 BIG-IP 系統上佈建 BIG-IP GTM 或 BIG-IP DNS 模組。
從 BIG-IP 12.0.0 開始,F5 將 BIG-IP GTM 重新命名為 BIG-IP DNS。
DNS Express 不使用 Unbound,且不受 CVE-2020-12662 或 CVE-2020-12663 影響。
CVE-2020-12662
在 BIG-IP 系統上啟用 DNS 快取功能後,攻擊者可惡意利用此弱點,在 BIG-IP 系統和受害者的授權 DNS 伺服器之間產生大量通訊,進而造成拒絕服務 (DDoS) 攻擊。
注意:如需關於 NXNSAttack 的詳細資訊,請參閱 NXNSAttack 研究報告。
CVE-2020-12663
遠端攻擊者可以對 BIG-IP 系統上設定的 DNS 快取發動 DoS 攻擊,造成 Unbound 失去回應。
解決方案
Upgrade to one of the non-vulnerable versions listed in the F5 Solution K37661551.另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 138233
檔案名稱: f5_bigip_SOL37661551.nasl
版本: 1.8
類型: local
已發布: 2020/7/9
已更新: 2023/11/3
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2020-12663
CVSS v3
風險因素: High
基本分數: 7.5
時間分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:f5:big-ip_domain_name_system, cpe:/h:f5:big-ip, cpe:/a:f5:big-ip_global_traffic_manager
必要的 KB 項目: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2020/6/3
弱點發布日期: 2020/5/19
參考資訊
CVE: CVE-2020-12662, CVE-2020-12663