当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026221

漏洞标题:赛迪网DNS配置不当造成域传输漏洞

相关厂商:赛迪网

漏洞作者: 梧桐雨

提交时间:2013-06-18 14:42

修复时间:2013-08-02 14:42

公开时间:2013-08-02 14:42

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-18: 细节已通知厂商并且等待厂商处理中
2013-06-19: 厂商已经确认,细节仅向厂商公开
2013-06-29: 细节向核心白帽子及相关领域专家公开
2013-07-09: 细节向普通白帽子公开
2013-07-19: 细节向实习白帽子公开
2013-08-02: 细节向公众公开

简要描述:

很多安全问题也从这里而来

详细说明:

不少人应该都知道,主站一般都较安全,分站或许就会比较薄弱。
但是当DNS配置不当的时候,又会暴露更多薄弱的环节。
赛迪网也同样存在这样的问题:
这里顺便说下如何测试存在DNS域传输:
可以参考drops曾经发布过的:
http://drops.wooyun.org/papers/64
或者是91ri.org的:
http://www.91ri.org/3016.html
讲的比较详细。
我就直接上图啦

18.jpg


19.jpg


10.jpg


88.jpg

漏洞证明:

18.jpg


19.jpg


10.jpg


88.jpg

修复方案:

做访问控制.定义ACL(访问控制列表)来限制在域名服务器之间的区域传送

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-06-19 08:34

厂商回复:

谢谢指正

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-02 15:05 | Lxai ( 路人 | Rank:10 漏洞数:8 )

    为什么我早上提交了都还没确认 。。。 这新发的都确认了

  2. 2013-08-02 15:06 | Lxai ( 路人 | Rank:10 漏洞数:8 )

    看错