CVE-2017-3136 [中] | Security Vulnerability（Bind）

A query with a specific set of characteristics could cause a server using DNS64 to encounter an assertion failure and terminate. An attacker could deliberately construct a query, enabling denial-of-service against a server if it was configured to use the DNS64 feature and other preconditions were met. Affects BIND 9.8.0 -> 9.8.8-P1, 9.9.0 -> 9.9.9-P6, 9.9.10b1->9.9.10rc1, 9.10.0 -> 9.10.4-P6, 9.10.5b1->9.10.5rc1, 9.11.0 -> 9.11.0-P3, 9.11.1b1->9.11.1rc1, 9.9.3-S1 -> 9.9.9-S8.

#	日期	舊 EPSS 分數	新 EPSS 分數	變化（新 − 舊）
1	2026-06-23	16.24%	11.09%	-5.15%
2	2026-06-15	48.52%	16.24%	-32.27%
3	2026-04-15	—	48.52%	—

日期

舊 EPSS 分數

新 EPSS 分數

變化（新 − 舊）

2026-06-23

16.24%

11.09%

-5.15%

2026-06-15

48.52%

16.24%

-32.27%

2026-04-15

—

48.52%

—

底座分	版本	嚴重度	向量	可利用性	影響	分數來源
5.9	3.0	MEDIUM	`CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:H) 即使網路可達，也常要卡時間窗、負載或特定版本組合才打得響。權限需求 (PR:N) 不必事先登入或提權，匿名工作階段也可能成為跳板。使用者互動 (UI:N) 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。作用域 (S:U) 破壞局限在脆弱元件原本的安全權限與信任域之內。機密性影響 (C:N) 幾乎談不上實質的敏感資料外洩。完整性影響 (I:N) 對紀錄真實性與不可否認性的破壞可忽略。可用性影響 (A:H) 可造成長時間中斷、關鍵交易無法完成，或伴隨資料毀損導致難以自癒。	2.2	3.6	[email protected]
5.9	3.0	MEDIUM	`CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:H) 即使網路可達，也常要卡時間窗、負載或特定版本組合才打得響。權限需求 (PR:N) 不必事先登入或提權，匿名工作階段也可能成為跳板。使用者互動 (UI:N) 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。作用域 (S:U) 破壞局限在脆弱元件原本的安全權限與信任域之內。機密性影響 (C:N) 幾乎談不上實質的敏感資料外洩。完整性影響 (I:N) 對紀錄真實性與不可否認性的破壞可忽略。可用性影響 (A:H) 可造成長時間中斷、關鍵交易無法完成，或伴隨資料毀損導致難以自癒。	2.2	3.6	[email protected]
4.3	2.0	MEDIUM	`AV:N/AC:M/Au:N/C:N/I:N/A:P` 點擊展開存取路徑 (AV:N) 只要路由可達，即可從遠端發動利用。存取複雜度 (AC:M) 需要若干有利條件，但不必「千年一遇」。認證 (AU:N) 全程無需有效身分。機密性影響 (C:N) 對機密性無影響。完整性影響 (I:N) 對完整性無影響。可用性影響 (A:P) 可用性受到部分損害。	8.6	2.9	[email protected]

底座分

版本

嚴重度

向量

可利用性

影響

分數來源

5.9

3.0

MEDIUM

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 點擊展開

攻擊向量 (AV:N): 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:H): 即使網路可達，也常要卡時間窗、負載或特定版本組合才打得響。
權限需求 (PR:N): 不必事先登入或提權，匿名工作階段也可能成為跳板。
使用者互動 (UI:N): 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。
作用域 (S:U): 破壞局限在脆弱元件原本的安全權限與信任域之內。
機密性影響 (C:N): 幾乎談不上實質的敏感資料外洩。
完整性影響 (I:N): 對紀錄真實性與不可否認性的破壞可忽略。
可用性影響 (A:H): 可造成長時間中斷、關鍵交易無法完成，或伴隨資料毀損導致難以自癒。

2.2

3.6

[email protected]

5.9

3.0

MEDIUM

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 點擊展開

攻擊向量 (AV:N): 可經網際網路或企業內可路由網段從遠端觸達，攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:H): 即使網路可達，也常要卡時間窗、負載或特定版本組合才打得響。
權限需求 (PR:N): 不必事先登入或提權，匿名工作階段也可能成為跳板。
使用者互動 (UI:N): 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。
作用域 (S:U): 破壞局限在脆弱元件原本的安全權限與信任域之內。
機密性影響 (C:N): 幾乎談不上實質的敏感資料外洩。
完整性影響 (I:N): 對紀錄真實性與不可否認性的破壞可忽略。
可用性影響 (A:H): 可造成長時間中斷、關鍵交易無法完成，或伴隨資料毀損導致難以自癒。

2.2

3.6

[email protected]

4.3

2.0

MEDIUM

AV:N/AC:M/Au:N/C:N/I:N/A:P 點擊展開

存取路徑 (AV:N): 只要路由可達，即可從遠端發動利用。
存取複雜度 (AC:M): 需要若干有利條件，但不必「千年一遇」。
認證 (AU:N): 全程無需有效身分。
機密性影響 (C:N): 對機密性無影響。
完整性影響 (I:N): 對完整性無影響。
可用性影響 (A:P): 可用性受到部分損害。

8.6

2.9

[email protected]

CVE-2017-3136 的 OS 追蹤

vendor	priority	summary	link
`alpine`	—	CVE-2017-3136: 1 source package rows (bind); 10 state rows across 10 repos (3.10-main, 3.11-main, 3.12-main, 3.17-main, 3.18-main, 3.19-main, 3.20-main, 3.21-main, 3.22-main, edge-main); fixed 10, open 0.	https://security.alpinelinux.org/vuln/CVE-2017-3136
`debian`	not yet assigned	CVE-2017-3136 not yet assigned priority: Debian including 1 source packages (bind9), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5.	https://security-tracker.debian.org/tracker/CVE-2017-3136
`gentoo`	normal	CVE-2017-3136: 1 GLSA(s) (201708-01), 1 atom(s) (net-dns/bind); latest impact normal.	https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2017-3136
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2017-3136
`suse`	high	CVE-2017-3136 severity important: SUSE including 313 source package names (0.1.0:sysuser-shadow-2.0-4.2.8, 0.1.75:sysuser-shadow-2.0-4.2.8, …), 696 product×package rows across 209 product lines (Container bci/bci-init, Container bci/dotnet-aspnet, … (209 product lines)): Fixed 616, Known Not Affected 80.	https://www.suse.com/security/cve/CVE-2017-3136/
`ubuntu`	medium	CVE-2017-3136 medium priority: Ubuntu including 1 source packages (bind9), 6 status rows across 6 suites (precise, trusty, upstream, xenial, yakkety, zesty): released 5, needs-triage 1.	https://ubuntu.com/security/CVE-2017-3136

CVE-2017-3136 的影響軟體 / 設定

廠商	產品	版本	原始 CPE
isc	bind	>= 9.8.0, <= 9.8.8	cpe:2.3:a:isc:bind::::::::
isc	bind	>= 9.9.0, <= 9.9.9	cpe:2.3:a:isc:bind::::::::
isc	bind	>= 9.10.0, <= 9.10.4	cpe:2.3:a:isc:bind::::::::
isc	bind	9.8.0	cpe:2.3:a:isc:bind:9.8.0:p1::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p1::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p2::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p3::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p4::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p5::::::
isc	bind	9.9.0	cpe:2.3:a:isc:bind:9.9.0:p6::::::
isc	bind	9.9.3	cpe:2.3:a:isc:bind:9.9.3:::::::*
isc	bind	9.9.3	cpe:2.3:a:isc:bind:9.9.3:s1::::::
isc	bind	9.9.10	cpe:2.3:a:isc:bind:9.9.10:beta1::::::
isc	bind	9.9.10	cpe:2.3:a:isc:bind:9.9.10:rc1::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p1::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p2::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p3::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p4::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p5::::::
isc	bind	9.10.4	cpe:2.3:a:isc:bind:9.10.4:p6::::::
isc	bind	9.10.5	cpe:2.3:a:isc:bind:9.10.5:b1::::::
isc	bind	9.10.5	cpe:2.3:a:isc:bind:9.10.5:rc1::::::
isc	bind	9.11.0	cpe:2.3:a:isc:bind:9.11.0:::::::*
isc	bind	9.11.0	cpe:2.3:a:isc:bind:9.11.0:p1::::::
isc	bind	9.11.0	cpe:2.3:a:isc:bind:9.11.0:p2::::::
isc	bind	9.11.0	cpe:2.3:a:isc:bind:9.11.0:p3::::::
isc	bind	9.11.1	cpe:2.3:a:isc:bind:9.11.1:beta1::::::
isc	bind	9.11.1	cpe:2.3:a:isc:bind:9.11.1:rc1::::::
redhat	enterprise_linux_desktop	6.0	cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
redhat	enterprise_linux_desktop	7.0	cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:::::::*
redhat	enterprise_linux_server	6.0	cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
redhat	enterprise_linux_server	7.0	cpe:2.3:o:redhat:enterprise_linux_server:7.0:::::::*
redhat	enterprise_linux_server_aus	7.3	cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:::::::*
redhat	enterprise_linux_server_aus	7.4	cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:::::::*
redhat	enterprise_linux_server_aus	7.6	cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:::::::*
redhat	enterprise_linux_server_eus	7.3	cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:::::::*
redhat	enterprise_linux_server_eus	7.4	cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:::::::*
redhat	enterprise_linux_server_eus	7.5	cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:::::::*
redhat	enterprise_linux_server_eus	7.6	cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:::::::*
redhat	enterprise_linux_server_tus	7.3	cpe:2.3:o:redhat:enterprise_linux_server_tus:7.3:::::::*
redhat	enterprise_linux_server_tus	7.6	cpe:2.3:o:redhat:enterprise_linux_server_tus:7.6:::::::*
redhat	enterprise_linux_workstation	6.0	cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
redhat	enterprise_linux_workstation	7.0	cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:::::::*
netapp	data_ontap_edge	—	cpe:2.3:a:netapp:data_ontap_edge:-:::::::*
netapp	element_software	—	cpe:2.3:a:netapp:element_software:-:::::::*
netapp	oncommand_balance	—	cpe:2.3:a:netapp:oncommand_balance:-:::::::*
debian	debian_linux	8.0	cpe:2.3:o:debian:debian_linux:8.0:::::::*

CVE-2017-3136 的參考連結

URL	標籤
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html
http://www.securityfocus.com/bid/97653	Third Party Advisory VDB Entry
http://www.securitytracker.com/id/1038259	Third Party Advisory VDB Entry
https://access.redhat.com/errata/RHSA-2017:1095	Third Party Advisory
https://access.redhat.com/errata/RHSA-2017:1105	Third Party Advisory
https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbux03747en_us	Third Party Advisory
https://kb.isc.org/docs/aa-01465	Vendor Advisory
https://security.gentoo.org/glsa/201708-01	Third Party Advisory
https://security.netapp.com/advisory/ntap-20180802-0002/	Third Party Advisory
https://www.debian.org/security/2017/dsa-3854	Third Party Advisory

URL

標籤

http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html

http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html

http://www.securityfocus.com/bid/97653

Third Party Advisory VDB Entry

http://www.securitytracker.com/id/1038259

Third Party Advisory VDB Entry

https://access.redhat.com/errata/RHSA-2017:1095

Third Party Advisory

https://access.redhat.com/errata/RHSA-2017:1105

Third Party Advisory