Cloud Native应用交付
  • 首页
  • 关于本站
  • 个人介绍
  • Downloads
  • Repo
    • Github
    • Container
  • F5
    • F5 Python SDK
    • F5-container
    • F5-LBaaS
  • 社交
    • 联系我
    • 微信/微博
    • 公众号
    • 打赏赞助
行至水穷处 坐看云起时
☁️We are in new App Mesh era: imesh.club ☁️
  1. 首页
  2. F5技术
  3. 正文

BIND CVE-2015-5477漏洞在F5上的防范

2015年08月13日 4905点热度 0人点赞 0条评论

漏洞发生在BIND分析接收到的query数据包阶段,因此对于BIND来说没有任何workaround,除了打补丁。

在F5 GTM上,被攻击的现象是,named会被重启,同时产生一个named的dump文件,日志类似如下:

1
2
3
Aug 13 17:40:27 ltm3900 notice logger: Started writing core file: /var/core/named.bld1.0.117.core.gz for PID 16599
Aug 13 17:40:28 ltm3900 notice logger: Finished writing 4211174 bytes for core file: /var/core/named.bld1.0.117.core.gz for PID 16599
Aug 13 17:40:31 ltm3900 emerg logger: Re-starting named

若攻击不是持续发生,理论上GTM智能解析不会受到影响,当然如果那个时候必须需要BIND返回消息的解析则会在crash期间受到影响,但named重启后则解析恢复正常。

防范:

首先F5有一篇SOL,请查看

https://support.f5.com/kb/en-us/solutions/public/16000/900/sol16909.html

需要说明的是,如果你的GTM还担任着除wideip以外的解析,例如MX,其他域名(就是说你必须依赖GTM 设备自身上的BIND的话),SOL上的关闭use bind on gtm 方法并不可行,会影响到正常功能。

在大部分缺省设置的GTM产品上,是直接受到该漏洞影响的。如果你不能及时升级补丁,那么可以使用irule作为防范方法,举例如下:

1
2
3
4
5
6
7
8
9
when DNS_REQUEST {
if {[string toupper [DNS::question type]] equals "TKEY" }{
   #optionally log TKEY request:
   #log local0. "query [DNS::question name] type  [DNS::question type] dropped "
   #drop <<optionally just drop the connection
   DNS::header rcode NOTIMPL
   DNS::return
   }  
}

如果你发现上面irule在你的GTM上无法直接用,可以使用下面这个:

1
2
3
4
5
6
7
when DNS_REQUEST {
if {[string toupper [DNS::question type]] equals "TKEY" }{
   #optionally log TKEY request:
   #log local0. "query [DNS::question name] type  [DNS::question type] dropped "
   drop
   }  
}

 注:上述irule只适用于未使用DNS express功能的客户。如果使用了DNS express功能,与F5工程师单独联系。

 

本作品采用 知识共享署名 4.0 国际许可协议 进行许可
标签: CVE-2015-5477 F5 gtm
最后更新:2015年08月13日

纳米

http://linjing.io

打赏 点赞
< 上一篇
下一篇 >

文章评论

取消回复

纳米

http://linjing.io

☁️迈向Cloud Native ADC ☁️

认证获得:
Kubernetes: CKA #664
Microsoft: MCSE MCDBA
Cisco: CCNP
Juniper: JNCIS
F5:
F5 Certified Solution Expert, Security
F5 Certified Technology Specialist, LTM/GTM/APM/ASM
F5 Certified BIG-IP Administrator
  • 点击查看本博技术要素列表
  • 分类目录
    • Avi Networks (3)
    • Cisco ACI (1)
    • CISCO资源 (21)
    • F5 with ELK (8)
    • F5-Tech tips (38)
    • F5技术 (203)
    • Juniper (4)
    • Linux (7)
    • Nginx (18)
    • SDN (4)
    • ServiceMesh (19)
    • WEB编程 (8)
    • WINDOWS相关 (7)
    • 业界文章 (18)
    • 交换机技术 (20)
    • 化云为雨/Openstack (35)
    • 协议原理 (52)
    • 容器/k8s (64)
    • 我的工作 (19)
    • 我的生活 (70)
    • 网站技术 (19)
    • 路由器技术 (80)
    • 项目案例 (28)
    文章归档
    标签聚合
    F5 k8s openstack nginx istio DNS envoy gtm docker network flannel api irule bigip neutron cc kubernetes ELK vxlan BGP dhcp VPN IPSec lbaas ingress ingress controller nginx plus sidecar IPSec VPN NAT sql
    最新 热点 随机
    最新 热点 随机
    Say hello for 2021 二进制flannel部署,非cni网络模式下与k8s CIS结合方案 又是一年国庆 Service Account Token Volume Projection Istio ingressgateway 静态TLS证书加载与SDS发现方式配置区别 Istio里Gateway的port定义与实际ingressgateway的listener端口关系及规则 Helm 3 部署NGINX Ingress Controller 应用交付老兵眼中的Envoy, 云原生时代下的思考 Istio sidecar iptables以及流量控制分析 Istio 熔断策略及envoy配置
    Say hello for 2021
    [9.3.1以上9.4.5HF2以内版本]关于web界面出现standard_list_buttons.jsp错误提示 基于kakfa (confluent)搭建elk(备忘) 再见2018 NGINX与oAuth2/OIDC系列三 http://www.cisco.com/warp/public/707/gre_ipsec_ospf.html WA 某种情况下强制加入cache-control:no-cache头而导致的IE浏览器无法打开或下载该文件的问题 Icehouse Vxlan 配置 Active/Active 模式下双机的配置同步 F5吴栋:登高望远 再铸辉煌 初识SDN
    链接表
    • Jimmy Song‘s Blog
    • SDNap
    • SDNlab
    • SDN论坛
    • Service Mesh社区
    • 三斗室
    • 个人profile

    COPYRIGHT © 2020 Cloud Native应用交付. ALL RIGHTS RESERVED.

    THEME KRATOS MADE BY VTROIS

    京ICP备14048088号-1

    京公网安备 11010502041506号

    [ Placeholder content for popup link ] WordPress Download Manager - Best Download Management Plugin