Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2017-00690
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 多所國內大學 教育單位 DNS 資訊洩漏
- Introduction: DNS 資訊洩漏
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2017/08/24 23:02:38 : 新提交 (由 Bojack 更新此狀態)
- 2017/08/24 23:03:28 : 新提交 (由 Bojack 更新此狀態)
- 2017/08/24 23:23:10 : 新提交 (由 Bojack 更新此狀態)
- 2017/08/25 00:14:55 : 新提交 (由 Bojack 更新此狀態)
- 2017/08/25 00:17:18 : 新提交 (由 Bojack 更新此狀態)
- 2017/08/26 01:01:02 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/09/02 23:01:28 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/09/02 23:01:29 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/10/24 03:00:18 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2017-00690
- 通報者:bojack (Bojack)
- 風險:低
- 類型:資訊洩漏 (Information Leakage)
參考資料
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
相關網址
敘述
使用 dig 指令可發現多所大學 dns 未限制 zone transfer,導致 dns 資訊外洩
國立台東大學
dig axfr @dns2.nttu.edu.tw nttu.edu.tw
dig axfr @dns.nttu.edu.tw nttu.edu.tw
dig axfr @rdns.ttrc.edu.tw nttu.edu.tw
國立屏東大學
dig axfr @ns2.nptu.edu.tw nptu.edu.tw
國立高雄師範大學
dig axfr @nknu.nknu.edu.tw nknu.edu.tw
佛光大學
dig axfr @tanetdns.fgu.edu.tw fgu.edu.tw
國立中興大學
dig axfr @pds.nchu.edu.tw nchu.edu.tw
靜宜大學
dig axfr @DNS-slave1.pu.edu.tw pu.edu.tw
dig axfr @DNS-slave2.pu.edu.tw pu.edu.tw
dig axfr @DNS-slave3.pu.edu.tw pu.edu.tw
國立臺灣體育運動大學
dig axfr @dns2.ntupes.edu.tw ntupes.edu.tw
國立體育大學
dig axfr @dns1.ntsu.edu.tw ntsu.edu.tw
國立臺灣師範大學
dig axfr @ns2.ntnu.edu.tw ntnu.edu.tw
dig axfr @dns3.ntnu.edu.tw ntnu.edu.tw
國立臺北藝術大學
dig axfr @dns.tnua.edu.tw tnua.edu.tw
銘傳大學
dig axfr @ns1.mcu.edu.tw mcu.edu.tw
dig axfr @ns2.mcu.edu.tw mcu.edu.tw
dig axfr @ns3.mcu.edu.tw mcu.edu.tw
dig axfr @ns4.mcu.edu.tw mcu.edu.tw
實踐大學
dig axfr @dns2.usc.edu.tw usc.edu.tw
國立高雄師範大學
dig axfr @nknu.nknu.edu.tw nknu.edu.tw
修補建議
可參考此篇文章修補
http://devco.re/blog/2014/05/05/zone-transfer-CVE-1999-0532-an-old-dns-security-issue/