1.修复的CVE ·CVE-2016-2775 描述：当要求解析查询名称时，BIND中的轻量级解析程序协议实现可能会进入无限递归并崩溃，当与搜索列表条目结合使用时，该查询名称超过了最大允许长度。当在named.conf中使用“ lwres”语句时，远程攻击者可能会利用此缺陷使lwresd或named崩溃。 ·CVE-2016-2776 描述：在BIND构造对满足特定条件的查询的响应的方式中发现了拒绝服务缺陷。远程攻击者可能会利用此缺陷，通过特制的DNS请求数据包，使声明出口意外断言失败。 ·CVE-2016-8864 描述：在BIND处理包含DNAME应答的响应时发现了拒绝服务缺陷。远程攻击者可利用此缺陷通过巧尽心思构建的DNS响应，使命名退出意外出现断言失败 ·CVE-2016-9131 描述：在BIND处理对ANY查询的响应时发现了拒绝服务缺陷。远程攻击者可利用此缺陷通过巧尽心思构建的DNS响应，使命名退出意外出现断言失败。 ·CVE-2016-9147 描述：BIND处理包含不一致DNSSEC信息的查询响应时发现了拒绝服务漏洞。远程攻击者可利用此缺陷通过巧尽心思构建的DNS响应，使命名退出意外出现断言失败。 ·CVE-2016-9444 描述：在BIND处理异常格式的DS记录响应的方式中发现了一个拒绝服务缺陷。远程攻击者可利用此缺陷通过巧尽心思构建的DNS响应，使命名退出意外出现断言失败。 ·CVE-2017-3135 描述：当使用DNS64和RPZ时，在BIND处理查询响应的方式中发现了一个拒绝服务缺陷。远程攻击者可以利用此缺陷，通过巧尽心思构建的DNS响应，通过断言失败或空指针取消引用，使命名退出意外发生。 ·CVE-2017-3136 描述：在使用带有“break dnssec yes”选项的DNS64时，在BIND处理查询请求的方式中发现了一个拒绝服务缺陷。远程攻击者可以利用此缺陷通过巧尽心思构建的DNS请求，使命名退出意外出现断言失败。 ·CVE-2017-3137 描述：在BIND以异常顺序处理包含CNAME或DNAME资源记录的查询响应时，发现了一个拒绝服务漏洞。远程攻击者可利用此缺陷通过巧尽心思构建的DNS响应，使命名退出意外出现断言失败。 ·CVE-2017-3142 描述：在BIND处理AXFR请求的TSIG身份验证时发现了一个缺陷。能够与权威绑定服务器通信的远程攻击者可以利用此漏洞通过发送特殊构造的请求包来查看区域的全部内容。 ·CVE-2017-3143 描述：在BIND处理动态更新的TSIG身份验证时发现了一个缺陷。能够与权威绑定服务器通信的远程攻击者可以利用此漏洞通过为动态更新请求伪造有效的TSIG或SIG（0）签名来操纵区域的内容。 ·CVE-2017-3145 描述：在BIND内部处理上游递归获取上下文上的清理操作时，发现了导致拒绝服务的释放后使用缺陷。远程攻击者可能会利用此漏洞，通过巧尽心思构建的DNS请求，使named（充当DNSSEC验证解析器）意外退出，并出现断言失败。 ·CVE-2018-5740 描述：在包含“拒绝应答别名”功能的绑定版本中发现了一个拒绝服务漏洞。此漏洞可使远程攻击者触发命名中的坚持断言，从而导致进程终止和拒绝服务条件。 ·CVE-2018-5741 描述：为了提供对使用动态DNS（DDNS）更新区域中记录的能力的细粒度控制，bind9提供了一个名为updatepolicy的功能。可以配置各种规则来限制客户端可以执行的更新类型，具体取决于发送更新请求时使用的密钥。不幸的是，一些规则类型最初没有被记录，当它们的文档被添加到change#3112的管理员参考手册（ARM）中时，添加到ARM的语言错误地描述了两种规则类型的行为，krb5子域和ms子域。这种不正确的文档可能会误导操作员，使他们相信他们配置的策略比实际的更严格。这会影响bind9.11.5和bind9.12.3之前的BIND版本。 ·CVE-2018-5743 描述：在bind实现可调的方式中发现了一个缺陷，该缺陷限制了同时进行的TCP客户端连接。远程攻击者可以利用此漏洞耗尽named可用的文件描述符池，从而可能影响网络连接和日志文件或区域日志文件等文件的管理。在命名进程不受操作系统强制的每个进程限制的情况下，这还可能导致耗尽该系统上所有可用的可用文件描述符。 ·CVE-2018-5745 描述：在bind实现“托管密钥”功能时发现断言失败。攻击者可以利用此漏洞导致命名守护程序崩溃。攻击者很难触发此漏洞，因为它要求操作员将BIND配置为使用攻击者管理的信任锚。 ·CVE-2019-6465 描述：发现区域传输的控制没有正确应用于动态可加载区域（DLZ）。充当DNS客户端的攻击者可以利用此漏洞请求和接收DLZ的区域传输，即使“允许传输”ACL不允许这样做。 ·CVE-2019-6477 描述：在bind限制任何给定时间可以连接的TCP客户端数量的方式中发现了一个缺陷。远程攻击者可以使用一个TCP客户端通过单个连接发送大量的DNS请求，导致named可用的文件描述符池耗尽，并可能影响网络连接和日志文件或区域日志文件等文件的管理。 2.受影响的软件包 ·中标麒麟高级服务器操作系统 V7 ·aarch64架构: bind、bind-chroot、bind-devel、bind-export-devel、bind-export-libs、bind-libs、bind-libs-lite、bind-license、bind-lite-devel、bind-pkcs11、bind-pkcs11-devel、bind-pkcs11-libs、bind-pkcs11-utils、bind-sdb、bind-sdb-chroot、bind-utils ·x86_64架构: bind、bind-chroot、bind-devel、bind-export-devel、bind-export-libs、bind-libs、bind-libs-lite、bind-license、bind-lite-devel、bind-pkcs11、bind-pkcs11-devel、bind-pkcs11-libs、bind-pkcs11-utils、bind-sdb、bind-sdb-chroot、bind-utils 3.软件包修复版本 ·中标麒麟高级服务器操作系统 V7 (aarch64、x86_64) bind-9.11.4-16.P2.el7或以上版本 bind-chroot-9.11.4-16.P2.el7或以上版本 bind-devel-9.11.4-16.P2.el7或以上版本 bind-export-devel-9.11.4-16.P2.el7或以上版本 bind-export-libs-9.11.4-16.P2.el7或以上版本 bind-libs-9.11.4-16.P2.el7或以上版本 bind-libs-lite-9.11.4-16.P2.el7或以上版本 bind-license-9.11.4-16.P2.el7或以上版本 bind-lite-devel-9.11.4-16.P2.el7或以上版本 bind-pkcs11-9.11.4-16.P2.el7或以上版本 bind-pkcs11-devel-9.11.4-16.P2.el7或以上版本 bind-pkcs11-libs-9.11.4-16.P2.el7或以上版本 bind-pkcs11-utils-9.11.4-16.P2.el7或以上版本 bind-sdb-9.11.4-16.P2.el7或以上版本 bind-sdb-chroot-9.11.4-16.P2.el7或以上版本 bind-utils-9.11.4-16.P2.el7或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 中标麒麟高级服务器操作系统 V7 aarch64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2016-2775:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-2776:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-8864:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-9131:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-9147:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-9444:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3135:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3136:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3137:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3142:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3143:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2017-3145:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2018-5740:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2018-5741:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2018-5743:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2018-5745:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2019-6465:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2019-6477:无需重启操作系统与服务即可使漏洞修复生效。 5.软件包下载地址 ·中标麒麟高级服务器操作系统 V7 bind(aarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-chroot-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-devel-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-export-devel-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-export-libs-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-libs-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-libs-lite-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-license-9.11.4-16.P2.el7.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-lite-devel-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-utils-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-sdb-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-sdb-chroot-9.11.4-16.P2.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-utils-9.11.4-16.P2.el7.aarch64.rpm bind(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-chroot-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-devel-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-devel-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-devel-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-devel-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-libs-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-libs-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-lite-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-lite-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-license-9.11.4-16.P2.el7.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-lite-devel-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-lite-devel-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-utils-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-sdb-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-sdb-chroot-9.11.4-16.P2.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-utils-9.11.4-16.P2.el7.x86_64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename