NewStart CGSL CORE 5.04 / MAIN 5.04：bind 多個弱點 (NS-SA-2020-0063)

medium Nessus Plugin ID 143897

語系：

概要

遠端機器受到多個弱點的影響。

描述

執行 CORE 5.04 / MAIN 5.04 版的遠端 NewStart CGSL 主機上安裝的 bind 套件受到多個弱點影響：

- Managed-keys 是一種可讓 BIND 解析器自動維護金鑰的功能，這些金鑰由運算子設為用於 DNSSEC 驗證的信任錨點使用。由於 managed-keys 功能出錯，如果在金鑰變換期間，信賴起點的金鑰被取代為使用不受支援演算法的金鑰，則使用 managed-keys 的 BIND 伺服器可能會因為宣告失敗而結束。
受影響的版本：BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P1、9.12.0 -> 9.12.3-P1，以及 BIND 9 支援的預覽版 9.9.3-S1 -> 9.11.5-S3 版。9.13 開發分支的 9.13.0 -> 9.13.6 版也會受到影響。尚未評估 BIND 9.9.0 之前版本是否受到 CVE-2018-5745 弱點影響。(CVE-2018-5745)

- 如果區域為下列受影響的可寫入版本，區域傳輸控制可能無法正確套用到動態載入區域 (DLZ)：BIND 9.9.0 -> 9.10.8-P1、9.11.0 -> 9.11.5-P2、9.12.0 -> 9.12.3-P2，以及 BIND 9 支援的預覽版 9.9.3-S1 -> 9.11.5-S3 版。9.13 開發分支的 9.13.0 -> 9.13.6 版也會受到影響。尚未評估 BIND 9.9.0 之前版本是否受到 CVE-2019-6465 弱點影響。(CVE-2019-6465)

- 啟用管線時，TCP 連線上的每個傳入查詢都需要透過 UDP (或在未啟用管線的情況下透過 TCP)，為接收的查詢進行類似的資源配置。使用 TCP 管線連線至伺服器的用戶端，耗用的資源比伺服器佈建時所能處理的資源更多。當具有大量管線查詢的 TCP 連線關閉時，釋放這些多重資源之伺服器上的負載可能導致其失去回應，即使是可透過授權方式或快取回應的查詢也是如此。(此問題最有可能被視為間歇性伺服器問題)。
(CVE-2019-6477)

- 如果攻擊者知道 (或成功猜到) 伺服器所使用的 TSIG 金鑰名稱，則可能透過使用特別建構的訊息，造成 BIND 伺服器達到不一致的狀態。由於 BIND 預設會設定本機工作階段金鑰 (即使在組態未以其他方式使用的伺服器上)，因此目前幾乎所有的 BIND 伺服器都會受到影響。在 2018 年 3 月及之後發佈的 BIND 版本中，tsig.c 中的宣告檢查會偵測到此不一致的狀態，並刻意結束。在引入此檢查之前，伺服器會繼續以不一致的狀態執行，且可能會造成有害結果。(CVE-2020-8617)

- 對處理轉介時執行擷取的次數缺乏有效限制，有意利用此問題的惡意執行者可以使用特別建構的轉介，造成遞回伺服器在嘗試處理轉介時發出大量擷取。此弱點至少可能會造成兩個影響：由於執行這些擷取需要額外的工作，所以可能導致遞迴伺服器的效能降低，攻擊者可以利用此行為將遞迴伺服器作為反射程式，發起具有高放大因數的反射攻擊。(CVE-2020-8616)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。