关于2013年12月域名系统软件及域名机构漏洞风险的情况通报-z6尊龙旗舰厅

2013年12月，国家信息安全漏洞共享平台（cnvd）对域名系统软件以及域名机构存在的漏洞风险进行跟踪监测，并联合cnvd合作单位（wooyun网站）接收涉及境内域名机构的漏洞事件报告。现将相关情况通报如下：

一、近期域名系统软件漏洞情况分析

cnvd对域名机构广泛使用的域名系统漏洞进行了分类收录。12月，cnvd收录了maradns、hostbill 2款软件存在的多个漏洞。攻击者利用漏洞获得敏感信息、执行脚本代码或绕过安全限制。

1.1 maradns deadwood ip伪造漏洞

maradns是一个安全加强的dns服务器。maradns使用deadwood后台程序处理递归dns查询。deadwood处理递归查询存在一个 ip伪造漏洞，远程攻击者可利用漏洞获得未授权访问或获取敏感信息。该漏洞的综合评级为“中危”，参考cnvd漏洞公告信息：

1.2 hostbill acl存在跨站脚本漏洞、安全绕过漏洞

hostbill是国外qualitysoftware.开发的虚拟主机、vps云主机、独立主机、域名及附加产品的财务管理系统。

hostbill存在跨站脚本漏洞。由于程序未能正确过滤用户提交的输入，可导致跨站脚本攻击。允许远程攻击者利用漏洞注入恶意脚本或html代码，当恶意数据被查看时可获取敏感信息或者劫持用户会话。此外，hostbill还存在多个安全绕过漏洞，由于acl控制存在安全漏洞，允许受限admin自行添加api，完全访问hostbill执行相关操作。

上述两个漏洞的综合评级均为“中危”，参考cnvd漏洞公告信息：

二、 境内域名机构漏洞风险事件

根据cnvd及合作单位wooyun网站收到的漏洞事件报告，12月份共收到6起涉及广东时代互联、河南景安网络等2家境内域名机构的漏洞风险事件。从漏洞类型和构成威胁看，信息泄露、sql注入漏洞较多，可构成网站文件信息或用户敏感信息泄露，相关典型案例如下，详细列表见附件。

2.1 广东时代互联网站信息泄露漏洞

广东时代互联科技有限公司，是中国大型域名注册和网站托管服务提供商。根据漏洞报送者报告的情况，时代互联网站存在信息泄露漏洞。由于服务器对文件访问权限控制不严，远程攻击者利用漏洞可下载文件，查看敏感信息，构成信息泄露风险。cnvd对该漏洞的综合评级为“中危”。参考链接：

2.2 河南景安网络服务器配置信息泄露漏洞

郑州市景安计算机网络技术有限公司，致力于电信基础服务运营，主要业务有：服务器托管、机柜租赁、数据中心专区承包、大带宽接入服务、增值服务以及中小企业互联网z6尊龙旗舰厅的解决方案等增值电信基础服务。根据漏洞报送者报告的情况，河南景安网络存在服务器配置信息泄露漏洞。攻击者在渗透的过程中获得了景安网络的服务器配置信息，攻击者可利用信息发起进一步攻击。 cnvd对该漏洞的综合评级为“中危”。参考链接：