早上公开的DNS漏洞, 我把问题整理了一下, 希望对大家有所参考:

- cnBeta上的警告信息: http://www.cnbeta.com/articles/60827.htm

这个漏洞是 DNS recursion 引起的, 之前公布的补丁可以解决这个问题,
对应的 BIND 的版本号是 9.5.0-P1, 9.4.2-P1, 9.3.5-P1 这三个.

升级后如果服务器开有 recursion 的话, 要多写一个acl, 在named.conf里加一句
allow-recursion {
    aclname;
};

或者默认只允许本机 recursive.

如果没有 recursive 就不会受威胁.　　　　　　

来自 bind-9.2.4-28.0.1.el4.src.rpm 的 bind 编译参数,
如果你需要重新编译, 请参考:

复制内容到剪贴板

代码:

export CFLAGS="$RPM_OPT_FLAGS"
if pkg-config openssl ; then
        export CFLAGS="$CFLAGS `pkg-config --cflags openssl`"
        export CPPFLAGS="$CPPFLAGS `pkg-config --cflags-only-I openssl`"
        export LDFLAGS="$LDFLAGS `pkg-config --libs-only-L openssl`"
fi
export CFLAGS="$CFLAGS -g"
%configure --with-libtool --localstatedir=/var \
        --enable-threads \
        --enable-ipv6 \
        --with-openssl=/usr

make

　　　　　　

如何确认系统是否有此漏洞:
http://admon.org/modules/faqs/faq.php?faqid=17

一个非常完善的配置:
$ dig +short @192.168.1.1 porttest.dns-oarc.net TXT              
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"200.111.111.100 is GREAT: 26 queries in 6.1 seconds from 26 ports with std dev 17298"