根据中国互联网络信息中心（CNNIC）报告，域名系统软件BIND的 9.6-ESV-R3 及之前版本存在漏洞，在.com的DS记录在根区发布后，将对递归服务器的.com域名解析产生影响。 

一、 漏洞分析 

域名注册服务商Verisign运行的.com域名DS记录于3月31日提交根区发布。根据ISC（Internet Systems Consortium,互联网系统联盟）官网公布的信息，在.com的DS记录在根区发布后，Bind漏洞会在以下条件满足时导致递归服务器对.com域名的解析产生错误： 

1. 递归解析服务器使用BIND软件的 9.6-ESV-R3 及之前版本；

2. 递归解析服务器开启DNSSEC验证功能。

该漏洞存在于BIND软件的9.6-ESV-R3 及之前版本，而9.6.3, 9.7.3和9.8.0 版本不受影响。目前ISC已将 BIND 9.6.3 重新打包为BIND 9.6-ESV-R4，并在北京时间3月29日发布。 

漏洞影响递归服务器对.com域名的普通查询（非DNSSEC，即查询的CD位＝0），查询结果可能返回SERVFAIL应答，根据相关测试，出现错误的比例约为50%。但该漏洞对于.com域名的DNSSEC查询（即查询的CD位＝1）没有影响。 

BIND软件缺省配置开启DNSSEC验证功能，由于大多数DNS查询为非DNSSEC查询，因此该漏洞对国内使用BIND软件提供的递归解析服务造成较严重影响。 

二、 处置建议 

对于目前国内使用相关BIND软件版本，且开启DNSSEC验证功能的递归服务器，建议根据ISC的官方建议进行处置，总结如下： 

1. 升级所使用BIND软件至不受漏洞影响的版本；

2. 如目前无法进行软件升级，建议暂时关闭DNSSEC验证功能；

3. 如果软件没有升级且服务已经受到漏洞影响，建议使用命令“rndc flushname com”, 或者通过重启服务器解决。