CVE-2015-5722 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ISC BIND named 存在**输入验证漏洞**。 💥 **后果**：远程攻击者可利用**畸形DNSSEC密钥**触发**断言失败**，导致守护进程退出，引发**拒绝服务 (DoS)**。

🔍 **缺陷点**：位于 `buffer.c` 文件。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心问题是**缺乏对特定输入（DNSSEC密钥）的有效验证**。

📦 **受影响组件**：ISC BIND 9.x 系列。 📅 **具体版本**： - 9.9.7-P3 **之前**的 9.x 版本 - 9.10.2-P4 **之前**的 9.10.x 版本

🕵️ **黑客能力**：仅能造成**拒绝服务**。 🚫 **无权限提升**：无法直接获取数据或控制权限，主要影响是服务中断（进程崩溃）。

📶 **利用门槛**：**低**。 🌐 **无需认证**：远程攻击者即可利用。 📝 **触发条件**：只需构造包含**畸形DNSSEC密钥**的特定 DNS 请求。

📜 **PoC/在野**：数据中 `pocs` 字段为空，**未提及**现成 Exp 或具体在野利用案例。 🔗 但提供了 ISC 官方确认链接，说明漏洞已公开确认。

🔎 **自查方法**： 1. 检查 BIND 版本是否在上述**受影响范围**内。 2. 监控 named 进程是否因**断言失败**频繁重启。 3. 扫描 DNS 流量中是否存在异常的**DNSSEC 密钥记录**。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2015-09-05。 📚 **参考**：ISC KB AA-01307 及 RedHat 安全公告 (RHSA-2015:1705, RHSA-2016:0078)。

🚧 **临时规避**： 1. **升级** BIND 至修复版本。 2. 若无法升级，考虑**限制 DNSSEC 验证**功能或过滤恶意 DNSSEC 数据包（需结合具体网络架构）。

⚡ **优先级**：**中/高**。 💡 **见解**：虽然仅为 DoS，但 DNS 是基础设施核心，服务中断影响巨大。建议**尽快升级**以确保持续可用性。