北京时间12月8日，ISC在其官网上公布了一个存在于BIND9软件中的高危漏洞CVE-2014-8500，以下为该漏洞的具体内容：

摘要:由于BIND没有在委派束缚上设置空间限制，攻击者可以利用它使BIND名字服务器崩溃或者引起内存溢出。

CVE: CVE-2014-8500

文档版本：2.0

发布日期：2014年12月8日

受影响软件：BIND 9

受影响软件版本：9.0.x

-> 9.8.x, 9.9.0 -> 9.9.6, 9.10.0 -> 9.10.1

严重程度:高危

可利用方式:远程

漏洞描述：

通过使用恶意构建的区域或者欺骗服务器，攻击者可以在BIND 9中设置一个监管，跟踪DNS中的委派，引起BIND开启一个不受限的队列试图跟踪这个委派。这样可以导致资源溢出和拒绝服务（包括终端的名字服务进程)。

漏洞影响：

所有的递归解析都受到影响。如果攻击者可以控制委派穿透该权威服务器的服务区域,权威服务器可以被影响。

漏洞利用：目前没有出现对该漏洞的恶意利用。

解决方案：建议对当前使用的BIND根据具体版本进行相应的补丁升级。BIND（9.9和9.10）当前补丁的下载地址:http://www.isc.org/downloads

BIND 9 版本9.9.6-P1

BIND 9 版本9.10.1-P1

老版本的建议：

BIND 9.6-ESV和BIND 9.8官方已经标明停止使用（EOL版本），不再提供服务支持。所有正在使用EOL版本的组织机构，应该计划更新到当前支持的版本。然而，针对这个问题的服务，可以通过发送申请到security-officer@isc.org获得帮助。

注意：ISC只负责对当前支持版本（http://www.isc.org/downloads）进行更新。