Cloud Native应用交付

  • 首页
  • 关于本站
  • 个人介绍
  • Downloads
  • Repo
    • Github
    • Container
  • F5
    • F5 Python SDK
    • F5-container
    • F5-LBaaS
  • 社交
    • 联系我
    • 微信/微博
    • 公众号
    • 打赏赞助
行至水穷处 坐看云起时
Cloud Native Application Services: cnadn.net
  1. 首页
  2. F5技术
  3. 正文

BIND CVE-2015-5477漏洞在F5上的防范

2015年08月13日 6150点热度 0人点赞 0条评论

漏洞发生在BIND分析接收到的query数据包阶段,因此对于BIND来说没有任何workaround,除了打补丁。

在F5 GTM上,被攻击的现象是,named会被重启,同时产生一个named的dump文件,日志类似如下:

1
2
3
Aug 13 17:40:27 ltm3900 notice logger: Started writing core file: /var/core/named.bld1.0.117.core.gz for PID 16599
Aug 13 17:40:28 ltm3900 notice logger: Finished writing 4211174 bytes for core file: /var/core/named.bld1.0.117.core.gz for PID 16599
Aug 13 17:40:31 ltm3900 emerg logger: Re-starting named

若攻击不是持续发生,理论上GTM智能解析不会受到影响,当然如果那个时候必须需要BIND返回消息的解析则会在crash期间受到影响,但named重启后则解析恢复正常。

防范:

首先F5有一篇SOL,请查看

https://support.f5.com/kb/en-us/solutions/public/16000/900/sol16909.html

需要说明的是,如果你的GTM还担任着除wideip以外的解析,例如MX,其他域名(就是说你必须依赖GTM 设备自身上的BIND的话),SOL上的关闭use bind on gtm 方法并不可行,会影响到正常功能。

在大部分缺省设置的GTM产品上,是直接受到该漏洞影响的。如果你不能及时升级补丁,那么可以使用irule作为防范方法,举例如下:

1
2
3
4
5
6
7
8
9
when DNS_REQUEST {
if {[string toupper [DNS::question type]] equals "TKEY" }{
   #optionally log TKEY request:
   #log local0. "query [DNS::question name] type  [DNS::question type] dropped "
   #drop <<optionally just drop the connection
   DNS::header rcode NOTIMPL
   DNS::return
   }  
}

如果你发现上面irule在你的GTM上无法直接用,可以使用下面这个:

1
2
3
4
5
6
7
when DNS_REQUEST {
if {[string toupper [DNS::question type]] equals "TKEY" }{
   #optionally log TKEY request:
   #log local0. "query [DNS::question name] type  [DNS::question type] dropped "
   drop
   }  
}

 注:上述irule只适用于未使用DNS express功能的客户。如果使用了DNS express功能,与F5工程师单独联系。

 

相关文章

  • BIGIP DNS (GTM)V12变化速览
  • V12 DNS(以前的GTM)行为变化 (Release notes)
  • 使用F5 irule实现类似腾讯的HTTPDNS功能
  • F5 V11.6 GTM/DNS 新特性
  • GTM Essentials,详细介绍GTM重要知识点 UPDATED TO V1.5.2
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: CVE-2015-5477 F5 gtm
最后更新:2015年08月13日

纳米

linjing.io

打赏 点赞
< 上一篇
下一篇 >

文章评论

取消回复

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据。

纳米

linjing.io

☁️迈向Cloud Native ADC ☁️

认证获得:
TOGAF: ID 152743
Kubernetes: CKA #664
Microsoft: MCSE MCDBA
Cisco: CCNP
Juniper: JNCIS
F5:
F5 Certified Solution Expert, Security
F5 Certified Technology Specialist, LTM/GTM/APM/ASM
F5 Certified BIG-IP Administrator
  • 点击查看本博技术要素列表
  • 归档
    分类
    • Avi Networks
    • Cisco ACI
    • CISCO资源
    • F5 with ELK
    • F5-Tech tips
    • F5技术
    • Juniper
    • Linux
    • NGINX
    • SDN
    • ServiceMesh
    • WEB编程
    • WINDOWS相关
    • 业界文章
    • 交换机技术
    • 化云为雨/Openstack
    • 协议原理
    • 容器/k8s
    • 我的工作
    • 我的生活
    • 网站技术
    • 路由器技术
    • 项目案例
    标签聚合
    istio api docker neutron F5 DNS nginx k8s irule openstack network gtm bigip flannel envoy
    最近评论
    厚嘴唇 发布于 5 个月前(02月08日) ces部署之前要提前安装kube-ovn吧?
    厚嘴唇 发布于 5 个月前(02月08日) ces部署必须是在kube-ovn网络安装好之后才可以吗
    平谷无颜祖 发布于 7 个月前(12月15日) 逐步加入dns及egress,不错不错
    minw9545 发布于 7 个月前(11月18日) 2021-11-18 23:36 现在是下午时间。
    minw9545 发布于 7 个月前(11月18日) 我放了奖励。 2021-11-18 11:36 请提供您的密码。
    浏览次数
    • Downloads - 76,164 views
    • Github - 73,333 views
    • F5常见log日志解释 - 58,512 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 58,384 views
    • 联系我 - 51,988 views
    • Sniffer Pro 4 70 530抓包软件 中文版+视频教程 - 46,559 views
    • 这篇文档您是否感兴趣 - 37,511 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 31,141 views
    • F5利用Elastic stack(ELK)进行应用数据挖掘系列(2)-DNS - 29,233 views
    • F5利用Elastic stack(ELK)进行应用数据挖掘系列(1)-HTTP - 28,269 views
    链接表
    • Jimmy Song‘s Blog
    • SDNap
    • SDNlab
    • SDN论坛
    • Service Mesh社区
    • 三斗室
    • 个人profile

    COPYRIGHT © 2022 Cloud Native应用交付. ALL RIGHTS RESERVED.

    Theme Kratos Made By Seaton Jiang

    京ICP备14048088号-1

    京公网安备 11010502041506号