苹果漠视DNS安全漏洞 自陷危机

　　作者: 唐慧文, 　出处:计世网,　责任编辑: 郭秋爽,　 2008-08-04 00:00

　　自从三周前揭露一项重大的域名解析系统(DNS)安全漏洞以来，苹果公司至今尚未释出解决这个问题的MAC OS X操作系统补丁程序。

　　自从三周前揭露一项重大的域名解析系统(DNS)安全漏洞以来，苹果公司至今尚未释出解决这个问题的MAC OSX操作系统补丁程序。不过，苹果在自我辩护时，或许可把责任推给第三方公司。

　　周一在互联网新闻组的贴文中，互联网系统协会(InternetSystems Consortium;ISC)的Paul Vixie坦承，Berkeley Internet Name Domain (BIND) DNS Server最近释出的-P1对部分使用者而言可能不稳定。“BIND DNS Server”用于互联网上绝大多数的域名解析服务器。

　　Vixie指出，ISC一得知有此问题，就立刻着手制作补丁程序。Vixie是Dan Kaminsky揭露DNS安全漏洞之前，先行通知的研究员之一。

　　不过，他说：“在开发周期中，我们发现高流量递归服务器(high-traffic recursive servers)的潜在效能问题;所谓高流量，意指查询量大于每秒一万笔。基于有限的时间框架与相关的风险，我们选择尽快完成补丁程序，并加快下一次的发布时程，以化解高量服务器效能的顾虑。”

　　Vixie明白，推出DNS补丁程序，比忧虑服务器缓慢的问题更重要。他说，ISC将在本周末释出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。

　　另外，Securosis.com的安全研究员Rich Mogull也呼应，释出一个DNS补丁程序，总比没有好。

　　上周在博客文章里，Mogull评论苹果至今尚未释出相关的补丁程序。他在文中写道：“苹果用的是很普及的 Internet Systems Consortium BIND DNS服务器，这是最先获修补的工具之一，但苹果尚未把修补漏洞后的版本纳入Mac OSX Server里，尽管他们很早就接获通知，既知道安全弱点的详细信息，也得知经过协调的补丁程序发布日期。”

　　Mogull表示：“苹果这次可能陷入进退两难的窘境，但他们却选择最糟的选项--一言不发。”

　　他还抱怨，众人都不知，BIND的不稳定性对Mac OSX Server影响有多大。

　　他说：“如果不稳定，我的建议是，先释出一个初步的补丁程序，让把它当递归服务器来用的使用者可先套用。如果已有活跃的黑客模板程序(exploit)，完全不修补漏洞不是可行的办法，可能让客户身陷高度的危险。让客户自行衡量风险决定。”

　　Mogull建议，精通编程者，仍可把他们自己的9.5.0-P1版本安装到Mac OS XServer，或是“重新设定那些服务器，把DNSrequest的讯息转给替代的平台，例如用Linux或Unix的BIND，或微软的服务器，直到苹果发布更新程序为止”。

　　Mogull在博客中提到，目前发生在网络上的攻击，只影响网络服务器上的DNS缓存，所以桌上型MAC OSX使用者暂时还不需担心。