偵測

EulerOS Virtualization for ARM 64 3.0.3.0:bind (EulerOS-SA-2019-2321)

high Nessus Plugin ID 131486

語系:

概要

遠端 EulerOS Virtualization for ARM 64 主機缺少多個安全性更新。

說明

根據安裝的 bind 套件版本,遠端主機上的 EulerOS Virtualization for ARM 64 安裝會受到下列弱點影響:- 變更 #4777 (2017 年 10 月引入) 在該日期之後發佈的版本中引入了一個意料之外的問題,影響允許哪些用戶端對 BIND 名稱伺服器進行遞迴查詢。預定 (和記載的) 行為是,如果運算子未針對「allow-recursion」設定指定一個值,則其應該預設為下列之一:無,如果 named.conf 中設定了「recursion no」,繼承自「allow-query-cache」或「allow-query」設定,如果「recursion yes」(該設定的預設) 以及比對清單已針對「allow-query-cache」或「allow-query」進行明確設定 (如需詳細資料,請參閱 BIND9 Administrative Reference Manual 的第 6.2 節),或者「allow-recursion {localhost localnets}」的預定預設,如果「recursion yes」有效,而且未針對「allow-query-cache」或「allow-query」進行明確設定。不過,由於變更 #4777 引起迴歸的緣故,可能會在「recursion yes」生效且沒有為「allow-query-cache」或「allow-query」提供比對清單值的情況下設定「allow-recursion」,以便從預設的「allow-query」設定繼承所有主機的設定,進而不當允許遞迴到所有用戶端。影響 BIND 9.9.12、9.10.7、9.11.3、9.12.0->9.12.1-P2、開發版本 9.13.0,以及 BIND 9 支援的預覽版的 9.9.12-S1、9.10.7-S1、9.11.3-S1 和 9.11.3-S2 版。(CVE-2018-5738) - 如果區域為受影響的可寫入版本,區域傳輸控制可能無法正確地套用到動態載入區域 (DLZ),版本為:BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P2、9.12.0 -> 9.12.3-P2,以及 BIND 9 支援的預覽版的 9.9.3-S1 -> 9.11.5-S3 版。9.13 開發分支的 9.13.0 -> 9.13.6 版也會受到影響。BIND 9.9.0 之前的版本尚未針對到 CVE-2019-6465 的弱點進行評估。(CVE-2019-6465) - 功能「managed-keys」可讓 BIND 解析器自動維護信賴起點所使用的金鑰,運算子會將這些金鑰設定為用於 DNSSEC 驗證。由於 managed-keys 功能出錯,如果在金鑰變換期間,信賴起點的金鑰被取代為使用不受支援演算法的金鑰,則使用 managed-keys 的 BIND 伺服器可能會因為宣告失敗而結束。受影響的版本:BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P1、9.12.0 -> 9.12.3-P1,以及 BIND 9 支援的預覽版的 9.9.3-S1 -> 9.11.5-S3 版。9.13 開發分支的 9.13.0 -> 9.13.6 版也會受到影響。BIND 9.9.0 之前的版本尚未針對到 CVE-2018-5745 的弱點進行評估。(CVE-2018-5745) 請注意,Tenable Network Security 已直接從 EulerOS 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 bind 套件。

另請參閱

http://www.nessus.org/u?b3f1b816

Plugin 詳細資訊

嚴重性: High

ID: 131486

檔案名稱: EulerOS_SA-2019-2321.nasl

版本: 1.5

類型: local

已發布: 2019/12/3

已更新: 2024/4/9

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2018-5738

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:huawei:euleros:bind-export-libs, p-cpe:/a:huawei:euleros:bind-libs, p-cpe:/a:huawei:euleros:bind-libs-lite, p-cpe:/a:huawei:euleros:bind-license, p-cpe:/a:huawei:euleros:bind-utils, p-cpe:/a:huawei:euleros:python3-bind, cpe:/o:huawei:euleros:uvp:3.0.3.0

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/EulerOS/release, Host/EulerOS/rpm-list, Host/EulerOS/uvp_version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/12/3

參考資訊

CVE: CVE-2018-5738, CVE-2018-5745, CVE-2019-6465