上月，glibc(GNU C Library)再曝安全漏洞——編號為CVE-2015-7547的緩沖區溢出漏洞，該漏洞影響大多數Linux服務器以及大量利用開源glibc搭建的網絡架構和服務，如ssh, sudo, curl, PHP Rails 等。據谷歌安全團隊分析，該漏洞位于glibc的DNS客戶端解析器，應可繞過內存防護技術，從而形成代碼執行漏洞。雖然這不是glibc第一次曝出安全漏洞，但由于DNS屬于核心網絡技術且很多互聯網服務都依賴于它，再加上此漏洞出現在發行于2008年glibc2.9，應用于眾多Linux發行版本中，所以此漏洞的影響范圍非常廣泛。

　　實際上早在去年7月，glibc的維護人員就已經發現了這個問題，但當時這個編程上的問題被嚴重低估，后來谷歌的安全人員偶然發現了這個bug，在研究的過程中發現紅帽的兩位研究人員Florian Weimer 和 O"Donell也正在分析這個問題，但由于問題的嚴重性，兩人并未公布相關信息，只是在私下進行研究。兩個團隊最終于2016年1月6日開始合作，共同修復這些源代碼，合力開發了補丁更新。

　　漏洞影響

　　glibc是GNU發布的libc庫，它是Linux系統中最底層的API，幾乎其它運行庫都會依賴于glibc。glibc組件包含了大量標準庫，這些標準庫會被眾多的程序調用。其中 libresolv庫用來實現主機名與IP地址之間轉換的功能。作為glibc包含的組件之一，nss_dns模塊通過libresolv庫進行DNS查詢，從而實現Name Service Switch(NSS)服務。發現這個漏洞的谷歌研究人員解釋，glibc通過alloca()函數在堆棧中保有2048字節。如果響應大于2048字節，就會從堆分配一個新的緩沖區，在某些情況下，會造成堆棧緩沖之間的不匹配，最后的結果就是，堆棧緩沖將被用于存儲DNS響應，即使響應包大小超過了堆棧緩沖，該行為導致堆棧緩沖的溢出。Libresolv庫中的代碼在執行A/AAAA 雙重DNS查詢時會調用getaddrinfo庫函數(處理域名到地址、服務到端口的轉換)。遠程攻擊者可以通過創建特殊的DNS響應，如利用惡意域名服務器或中間人等，造成應用程序乃至系統崩潰，或進行遠程代碼執行，甚至取得root權限，調用函數send_dg(UDP查詢)和send_vc(TCP查詢)時會觸發此緩沖區溢出。

　　從對此漏洞的分析可以看出，承擔眾多互聯網服務基礎功能的DNS又一次成為了被攻擊者利用的工具。盡管目前還沒有證據表明已經有攻擊者利用了此項漏洞，但為了系統安全考慮，在正式的補丁出來之前，不得不對glibc的DNS解析器做一些必要限制以減少漏洞利用的可能。如對于UDP查詢，可采取的措施有：丟棄大于512字節的UDP DNS數據包、設置本地解析器以丟棄不一致的響應、避免A/AAAA雙重查詢，不使用EDNS0或DNSSEC等;對于TCP查詢，限制所有DNS響應包大小在1024字節之內。但進行這些操作要慎之又慎，因為大型的DNS應答雖不常見，但不一定是惡意的，上述措施在規避漏洞利用的同時，可能會影響正常的DNS解析。慶幸的是，雖然Linux操作系統還未更新，但glibc補丁已經發布，用戶可以先打上glibc補丁阻斷黑客的利用可能。

　　專家建議

　　對于互聯網上最廣泛使用的DNS解析軟件BIND是否會受到此漏洞的影響，BIND的開發和維護機構ISC(Internet Systems Consortium)認為，由于BIND的核心——指定域名服務器守護進程在進行DNS解析時，雖然使用的也是getaddrinfo()函數，但調用的是BIND本身的代碼而不是系統庫中的，所以此漏洞對基于BIND的DNS解析軟件并無影響。但是一些實用程序或工具如dig、delv等，也隸屬于BIND包，在進行DNS查詢后會調用系統庫中的 getaddrinfo()函數，所以盡管基于BIND的域名服務器風險很小，但ISC也強烈建議修復系統庫。

　　來自紅帽的分析表明，編寫成格式正確的、帶有攻擊者載荷的DNS響應將會穿透DNS緩存層次結構，允許攻擊者利用這些緩存背后的機器。針對于此，DNS安全專家Dan Kaminsky也有著自己的見解：如果一個DNS漏洞可以滲透DNS的層次結構，那么問題已然升級，我們已經處在另一種危險之中，尤其是DNS應用如此廣泛，一旦DNS查詢導致了惡意代碼執行，那結果顯然是非常嚴重的。因此加固DNS緩存、加強架構部署，發展和支持網絡基礎設施建設，也是迫在眉睫的事。

　　此漏洞也提醒我們，在DNS安全領域，攻擊手段越來越多樣化，攻擊層面也更為深入。為此，國內領先的DNS解決方案提供商泰策也是非常擔憂的。由于DNS對互聯網業務的重要性，導致其成為許多網絡攻擊的目標，而DNS系統本身的脆弱性也大大提高了這些攻擊的可能。此次涉及DNS的glibc漏洞，其發現用了八年，意味著給了攻擊者八年時間來發現和利用這個漏洞。而現在，補丁雖然給出，但必須重啟服務器，這對于一些業務來說也是破壞性的。所以這就需要互聯網安全人員在問題出現之前，建設更為安全的網絡平臺。為此，泰策也呼吁業界要加強DNS安全建設，對于關鍵應用、關鍵部門所使用的DNS系統，采用更為可靠的商用解決方案，或者依賴專業技術服務團隊的支撐，保證漏洞的及時修復和安全事件的及時響應。