本周早些时候，Dan Kaminsky 宣布了存在于已有 25 年历史的 DNS 协议中的一个重大安全漏洞。DNS 用于将人类可读的地址（例如 www.google.com）转换为 IP 地址，计算机使用这些 IP 地址通过互联网等网络相互通信。IO Active 的安全研究员 Kaminsky 强调，问题在于 DNS 的设计，因此影响了所有操作系统上的软件。

当然，Linux 上最流行的 DNS 软件是 BIND，几乎每个发行版都带有它。Kaminsky 与许多主要的软件供应商合作，以确保安全更新能够同时发布。Debian、Red Hat、Ubuntu 和许多其他发行版已经提供了 BIND 的更新版本。需要注意的是，如果您在任何地方运行 BIND 8 服务器，您应该抓住这个机会升级到 BIND 9。BIND 8 代码库已不再受支持，并且不提供安全更新。

即使这是一个协议问题，某些软件和服务也不会受到影响。使用 Dan Bernstein 的 djbdns 包的系统不会受到此类攻击的影响。PowerDNS 和 OpenDNS 的用户也不容易受到攻击。Kaminsky 在他的网站上提供了一个工具，您可以使用它来检查您的 DNS 服务。

尽管这是一个重大的安全问题，但 Kaminsky 尚未发布该漏洞利用的详细信息。与供应商的协调努力使他们有机会在 Kaminsky 下个月在拉斯维加斯举行的年度 Black Hat 安全会议上发表演讲之前修补他们的系统。预计他将在会议上深入讨论该漏洞，届时肯定会出现漏洞利用。漏洞的 执行概述 (PDF) 和 CERT 咨询 都可用。受影响系统的列表位于咨询的底部附近。

如果您管理 DNS 服务，请花时间使用最新的可用软件更新您的系统。