漏洞关键信息 CVE编号: CVE-2015-5477 影响产品: SRX-Series 和 J-Series 配置了 DNS Proxy 服务的设备 严重程度: 中等 (5.3) 问题描述: 在 ISC BIND 处理 TKEY 记录查询时存在漏洞,可能导致远程攻击者通过断言失败终止进程。目前 Juniper SIRT 尚未发现 Junos 设备上的恶意利用情况,但已知存在公开的 PoC 漏洞利用。 解决方案: 以下 Junos OS 版本已修复此问题:12.1X44-D55, 12.1X46-D40, 12.1X46-D45, 12.1X47-D30, 12.3R11, 12.3R12, 12.3X48-D20, 12.3X50-D50, 13.2R9, 13.2X51-D39, 13.2X51-D40, 13.3R8, 14.1R6, 14.1R7, 14.1X53-D30, 14.2R5, 15.1F3, 15.1R2, 15.1R3, 15.1X49-D30, 15.1X53-D20, 15.2R1 及后续版本。 临时解决方法: - 禁用 DNS 代理服务: - 使用防火墙过滤器限制 TCP 和 UDP 端口 53 的 DNS 查询接收。 - 采用非 BIND 基础的 DNS 服务器。 - 限制访问关键基础设施网络设备。 相关链接: - KB16613: Juniper Networks SIRT 安全公告发布流程概览 - KB16765: 哪些版本的补丁已修复漏洞? - KB16446: CVSS 和 Juniper 安全建议 - 报告安全漏洞 - 联系 Juniper 网络安全事件响应团队 - ISC BIND 关于 BIND 断言失败 - ISC BIND 关于 CVE-2015-5477