苹果漠视DNS安全漏洞 自陷危机

自从三周前揭露一项重大的域名解析系统(DNS)安全漏洞以来,苹果公司至今尚未释出解决这个问题的MAC OS X操作系统补丁程序。不过,苹果在自我辩护时,或许可把责任推给第三方公司。

周一在互联网新闻组的贴文中,互联网系统协会(Internet Systems Consortium;ISC)的Paul Vixie坦承,Berkeley Internet Name Domain (BIND) DNS Server最近释出的-P1对部分使用者而言可能不稳定。"BIND DNS Server"用于互联网上绝大多数的域名解析服务器。

Vixie指出,ISC一得知有此问题,就立刻着手制作补丁程序。Vixie是Dan Kaminsky揭露DNS安全漏洞之前,先行通知的研究员之一。

不过,他说:"在开发周期中,我们发现高流量递归服务器(high-traffic recursive servers)的潜在效能问题;所谓高流量,意指查询量大于每秒一万笔。基于有限的时间框架与相关的风险,我们选择尽快完成补丁程序,并加快下一次的发布时程,以化解高量服务器效能的顾虑。"

Vixie明白,推出DNS补丁程序,比忧虑服务器缓慢的问题更重要。他说,ISC将在本周末释出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。

另外,Securosis.com的安全研究员Rich Mogull也呼应,释出一个DNS补丁程序,总比没有好。

上周在博客文章里,Mogull评论苹果至今尚未释出相关的补丁程序。他在文中写道:"苹果用的是很普及的 Internet Systems Consortium BIND DNS服务器,这是最先获修补的工具之一,但苹果尚未把修补漏洞后的版本纳入Mac OS X Server里,尽管他们很早就接获通知,既知道安全弱点的详细信息,也得知经过协调的补丁程序发布日期。"

Mogull表示:"苹果这次可能陷入进退两难的窘境,但他们却选择最糟的选项–一言不发。"

他还抱怨,众人都不知,BIND的不稳定性对Mac OS X Server影响有多大。

他说:"如果不稳定,我的建议是,先释出一个初步的补丁程序,让把它当递归服务器来用的使用者可先套用。如果已有活跃的黑客模板程序(exploit),完全不修补漏洞不是可行的办法,可能让客户身陷高度的危险。让客户自行衡量风险决定。"

Mogull建议,精通编程者,仍可把他们自己的9.5.0-P1版本安装到Mac OS X Server,或是"重新设定那些服务器,把DNS request的讯息转给替代的平台,例如用Linux或Unix的BIND,或微软的服务器,直到苹果发布更新程序为止"。

Mogull在博客中提到,目前发生在网络上的攻击,只影响网络服务器上的DNS 缓存,所以桌上型MAC OS X使用者暂时还不需担心。