苹果漠视DNS安全漏洞自陷危机_安全中国

自从三周前揭露一项重大的域名解析系统（DNS）安全漏洞以来，苹果公司至今尚未释出解决这个问题的MAC OS X操作系统补丁程序。不过，苹果在自我辩护时，或许可把责任推给第三方公司。

周一在互联网新闻组的贴文中，互联网系统协会(Internet Systems Consortium；ISC)的Paul Vixie坦承，Berkeley Internet Name Domain (BIND) DNS Server最近释出的-P1对部分使用者而言可能不稳定。“BIND DNS Server”用于互联网上绝大多数的域名解析服务器。

Vixie指出，ISC一得知有此问题，就立刻着手制作补丁程序。Vixie是Dan Kaminsky揭露DNS安全漏洞之前，先行通知的研究员之一。

不过，他说：“在开发周期中，我们发现高流量递归服务器(high-traffic recursive servers)的潜在效能问题；所谓高流量，意指查询量大于每秒一万笔。基于有限的时间框架与相关的风险，我们选择尽快完成补丁程序，并加快下一次的发布时程，以化解高量服务器效能的顾虑。”

Vixie明白，推出DNS补丁程序，比忧虑服务器缓慢的问题更重要。他说，ISC将在本周末释出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。

另外，Securosis.com的安全研究员Rich Mogull也呼应，释出一个DNS补丁程序，总比没有好。

上周在博客文章里，Mogull评论苹果至今尚未释出相关的补丁程序。他在文中写道：“苹果用的是很普及的 Internet Systems Consortium BIND DNS服务器，这是最先获修补的工具之一，但苹果尚未把修补漏洞后的版本纳入Mac OS X Server里，尽管他们很早就接获通知，既知道安全弱点的详细信息，也得知经过协调的补丁程序发布日期。”

Mogull表示：“苹果这次可能陷入进退两难的窘境，但他们却选择最糟的选项--一言不发。”

他还抱怨，众人都不知，BIND的不稳定性对Mac OS X Server影响有多大。

他说：“如果不稳定，我的建议是，先释出一个初步的补丁程序，让把它当递归服务器来用的使用者可先套用。如果已有活跃的黑客模板程序(exploit)，完全不修补漏洞不是可行的办法，可能让客户身陷高度的危险。让客户自行衡量风险决定。”

Mogull建议，精通编程者，仍可把他们自己的9.5.0-P1版本安装到Mac OS X Server，或是“重新设定那些服务器，把DNS request的讯息转给替代的平台，例如用Linux或Unix的BIND，或微软的服务器，直到苹果发布更新程序为止”。

Mogull在博客中提到，目前发生在网络上的攻击，只影响网络服务器上的DNS 缓存，所以桌上型MAC OS X使用者暂时还不需担心。

苹果漠视DNS安全漏洞 自陷危机

苹果漠视DNS安全漏洞自陷危机