漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-064335
漏洞标题:域名注册商开放DNS区传送泄露用户域名数据
相关厂商:北京万维通港科技有限公司
漏洞作者: 路人甲
提交时间:2014-06-10 15:29
修复时间:2014-07-25 15:30
公开时间:2014-07-25 15:30
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-07-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
“你好万维网”的名字服务器ns.dns.net.cn.、ns2.dns.net.cn.、ns7.dns.net.cn.,采用的windows平台自带DNS解析软件,未经任何限制策略公开传送区文件数据,可以通过该漏洞将该注册商名下所有域名数据全部截获。
详细说明:
“你好万维网”的名字服务器ns.dns.net.cn.、ns2.dns.net.cn.、ns7.dns.net.cn.,采用的windows平台自带DNS解析软件,未经任何限制策略公开传送区文件数据,可以通过该漏洞将该注册商名下所有域名数据全部截获。
http://nihao.net/
from官方网站:你好万维网隶属于北京万维通港科技有限公司,是一家国际性的高科技互联网技术服务提供商(www.nihao.net),是在中关村注册的高新技术企业,致力于为政府、企业和家庭上网提供高技术含量的网络应用解决方案及增值服务。
所拥有几万个网站域名,均受到该漏洞影响。其中有不少上市公司网站。
漏洞证明:
=====你好万维网自有区数据泄露======
=====以邦讯技术股份有限公司的网站为例========
修复方案:
1、修改dns配置策略,进行axfr权限限制
2、建议更换升级dns解析软件
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝