新网数码(Xinnet)是国内最大域名注册商之一,目前其国际域名注册量居全球第16位,数量接近100万。再加上未公开的国内域名注册量,估计其管理的域名总数达到数百万。
然而,据日前来自 www.mynic.com.cn 的消息称,新网数码08年新升级的域名管理平台出现严重漏洞,数百万新网域名面临重重隐患。
mynic是新网数码最早期的代理商之一(以下简称“MyNIC”),对新网数码多年来的发展甚为关注。据MyNIC称,自从今年8月新网将代理商从老管理平台切换到新管理平台之后,即发现,通过新管理平台的漏洞,可以直接管理新网数码任何代理商下注册的域名,甚至包括新网数码官方域名 xinnet.com 。
出于对新网数码及其所有代理商及域名持有人负责的考虑,MyNIC曾在8月发现漏洞后立即通知新网数码相关部门,并要求立即修补漏洞。然而,令人遗憾的是,截至今日(9月11日)为止,漏洞仍然未被修复,新网数码似乎对此并不关心,对数百万域名面临的危险处境熟视无睹。
根据MyNIC提供的示例,隐患的严重程度不言而喻,除了可以随时修改域名whois信息,甚至连 xinnet.com 的dns服务器均可被随意修改。
如果单单修改xinnet.com的dns服务器,那么受影响的仅仅是新网数码官方网站而已。
但更为严重的是,据MyNIC称,通过漏洞还可以随意修改xinnet.cn域名下注册的dns,比如ns.xinnet.cn/ns2.xinnet.cn。如果漏洞被不法者利用,后果将不堪设想。轻者导致数百万域名集体罢工,重者可能导致数百万域名同时被引导到不良网站。
出于安全考虑,MyNIC没有提供更多示例。
无论如何,国内最大域名注册商系统发生此种情况的确令人叹为观止,希望新网数码能立即引起重视,尽快修复漏洞,以免酿成恶果。