上月，glibc(GNU C Library)再曝安全漏洞——编号为CVE-2015-7547的缓冲区溢出漏洞，该漏洞影响大多数Linux服务器以及大量利用开源glibc搭建的网络架构和服务，如ssh, sudo, curl, PHP Rails 等。据谷歌安全团队分析，该漏洞位于glibc的DNS客户端解析器，应可绕过内存防护技术，从而形成代码执行漏洞。虽然这不是glibc第一次曝出安全漏洞，但由于DNS属于核心网络技术且很多互联网服务都依赖于它，再加上此漏洞出现在发行于2008年glibc2.9，应用于众多Linux发行版本中，所以此漏洞的影响范围非常广泛。

　　实际上早在去年7月，glibc的维护人员就已经发现了这个问题，但当时这个编程上的问题被严重低估，后来谷歌的安全人员偶然发现了这个bug，在研究的过程中发现红帽的两位研究人员Florian Weimer 和 O"Donell也正在分析这个问题，但由于问题的严重性，两人并未公布相关信息，只是在私下进行研究。两个团队最终于2016年1月6日开始合作，共同修复这些源代码，合力开发了补丁更新。

　　漏洞影响

　　glibc是GNU发布的libc库，它是Linux系统中最底层的API，几乎其它运行库都会依赖于glibc。glibc组件包含了大量标准库，这些标准库会被众多的程序调用。其中 libresolv库用来实现主机名与IP地址之间转换的功能。作为glibc包含的组件之一，nss_dns模块通过libresolv库进行DNS查询，从而实现Name Service Switch(NSS)服务。发现这个漏洞的谷歌研究人员解释，glibc通过alloca()函数在堆栈中保有2048字节。如果响应大于2048字节，就会从堆分配一个新的缓冲区，在某些情况下，会造成堆栈缓冲之间的不匹配，最后的结果就是，堆栈缓冲将被用于存储DNS响应，即使响应包大小超过了堆栈缓冲，该行为导致堆栈缓冲的溢出。Libresolv库中的代码在执行A/AAAA 双重DNS查询时会调用getaddrinfo库函数(处理域名到地址、服务到端口的转换)。远程攻击者可以通过创建特殊的DNS响应，如利用恶意域名服务器或中间人等，造成应用程序乃至系统崩溃，或进行远程代码执行，甚至取得root权限，调用函数send_dg(UDP查询)和send_vc(TCP查询)时会触发此缓冲区溢出。

　　从对此漏洞的分析可以看出，承担众多互联网服务基础功能的DNS又一次成为了被攻击者利用的工具。尽管目前还没有证据表明已经有攻击者利用了此项漏洞，但为了系统安全考虑，在正式的补丁出来之前，不得不对glibc的DNS解析器做一些必要限制以减少漏洞利用的可能。如对于UDP查询，可采取的措施有：丢弃大于512字节的UDP DNS数据包、设置本地解析器以丢弃不一致的响应、避免A/AAAA双重查询，不使用EDNS0或DNSSEC等;对于TCP查询，限制所有DNS响应包大小在1024字节之内。但进行这些操作要慎之又慎，因为大型的DNS应答虽不常见，但不一定是恶意的，上述措施在规避漏洞利用的同时，可能会影响正常的DNS解析。庆幸的是，虽然Linux操作系统还未更新，但glibc补丁已经发布，用户可以先打上glibc补丁阻断黑客的利用可能。

　　专家建议

　　对于互联网上最广泛使用的DNS解析软件BIND是否会受到此漏洞的影响，BIND的开发和维护机构ISC(Internet Systems Consortium)认为，由于BIND的核心——指定域名服务器守护进程在进行DNS解析时，虽然使用的也是getaddrinfo()函数，但调用的是BIND本身的代码而不是系统库中的，所以此漏洞对基于BIND的DNS解析软件并无影响。但是一些实用程序或工具如dig、delv等，也隶属于BIND包，在进行DNS查询后会调用系统库中的 getaddrinfo()函数，所以尽管基于BIND的域名服务器风险很小，但ISC也强烈建议修复系统库。

　　来自红帽的分析表明，编写成格式正确的、带有攻击者载荷的DNS响应将会穿透DNS缓存层次结构，允许攻击者利用这些缓存背后的机器。针对于此，DNS安全专家Dan Kaminsky也有着自己的见解：如果一个DNS漏洞可以渗透DNS的层次结构，那么问题已然升级，我们已经处在另一种危险之中，尤其是DNS应用如此广泛，一旦DNS查询导致了恶意代码执行，那结果显然是非常严重的。因此加固DNS缓存、加强架构部署，发展和支持网络基础设施建设，也是迫在眉睫的事。

　　此漏洞也提醒我们，在DNS安全领域，攻击手段越来越多样化，攻击层面也更为深入。为此，国内领先的DNS解决方案提供商泰策也是非常担忧的。由于DNS对互联网业务的重要性，导致其成为许多网络攻击的目标，而DNS系统本身的脆弱性也大大提高了这些攻击的可能。此次涉及DNS的glibc漏洞，其发现用了八年，意味着给了攻击者八年时间来发现和利用这个漏洞。而现在，补丁虽然给出，但必须重启服务器，这对于一些业务来说也是破坏性的。所以这就需要互联网安全人员在问题出现之前，建设更为安全的网络平台。为此，泰策也呼吁业界要加强DNS安全建设，对于关键应用、关键部门所使用的DNS系统，采用更为可靠的商用解决方案，或者依赖专业技术服务团队的支撑，保证漏洞的及时修复和安全事件的及时响应。