偵測

MiracleLinux 3bind-9.3.4-10.P1.1AXS3 (AXSA:2009-94:02)

medium Nessus Plugin ID 284170

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2009-94:02 公告中所提及的多個弱點影響的套件。

 BIND (Berkeley Internet Name Domain) 是 DNS (網域名稱系統) 通訊協定的實作。BIND 中包含解析 IP 位址主機名稱的 DNS 伺服器 (named);解析器程式庫 (當與 DNS 介接時所使用的應用程式常式);以及驗證 DNS 伺服器是否正確運作的工具。
 修正的錯誤:
 CVE-2007-6283 Red Hat Enterprise Linux 5 和 Fedora 以任何人皆可讀取的權限安裝 Bind /etc/rndc.key 檔案其可允許本機使用者執行未經授權的 named 命令例如藉由停止 named 來造成拒絕服務。
 CVE-2008-0122 在 ISC BIND 9.4.2 和更舊版本中libbind 的 inet_network 函式存在差一錯誤如 FreeBSD 6.2 到 7.0-PRERELEASE 的 libc 中所使用允許內容相依的攻擊者造成拒絕服務 (當機) 和可能透過可觸發記憶體損毀的特製輸入執行任意程式碼。
 CVE-2008-1447 在 (1) 9.5.0-P1、9.4.2-P1 和 9.3.5-P1 之前的 BIND 8 和 9 中實作的 DNS 通訊協定(2) Windows 2000 SP4、XP SP2 和 SP3 以及 Server 2003 SP1 和 SP2 中的 Microsoft DNS及其他實作允許遠端攻擊者透過生日攻擊來偽造 DNS 流量該攻擊使用 in-bailiwick 轉介對遞回解析器進行快取毒害這與 DNS 交易 ID 和來源連接埠的隨機性不足和來源連接埠有關亦即 DNS 通訊端熵不足弱點或 Kaminsky 錯誤。
 其他錯誤
 - 接受 krb5-self 和 krb5-subdomain update-policy 比對
 - 新增 configtest 至來自具名 initscript 的使用量報告
 - 已新增 GSS-TSIG 支援至 named
 - 為 nsupdate 新增 GSS-TSIG 支援
 - bind-chroot 更新現在可接受使用者定義的 chroot 目錄
 - bind-sdb scripplet 正確設定 /etc/openldap/slapd.conf 擁有權
 - 檢查 DSA_do_verify 是否正確傳回值
 - 不呼叫 chroot/proc 上的 restorecon
 - 將某些子網域做為 rndc 重新載入引數使用時不會當機
 - 修正 SDB 內容的構建
 - 修正 ${chroot}/dev/random SELinux 標籤
 - 修正 bind-chroot-admin 中的 named.log 同步
 - 修正 DBUS 初始化期間的爭用情形
 - 修正 rndc 停止傳回值處置程式
 - 修正 named 之 ldap 配置的錯誤權限
 - initscript LSD 標準化
 - initscript 中的微幅變更
 - 從 caching-nameserver.conf 移除 query-source{,-v6} 選項
 - 現在當 named 無法重新載入時會從 initscript 傳回非零值
 - 已修訂可執行檔和指令碼的權限
 - 依預設將開啟檔案限制設為無限制如文件中所述
 - 隱藏 chroot 規格檔指令碼的錯誤
 - 更新 lib/dns/rootns.c 檔案中的 L.ROOT-SERVERS.NET 位址
 - 已更新 named.root 區域以影響 root IPv6 移轉

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/732

Plugin 詳細資訊

嚴重性: Medium

ID: 284170

檔案名稱: miracle_linux_AXSA-2009-94.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2008-0122

CVSS v3

風險因素: Medium

基本分數: 6.8

時間性分數: 6.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2008-1447

弱點資訊

CPE: p-cpe:/a:miracle:linux:caching-nameserver, p-cpe:/a:miracle:linux:bind-libs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:bind-devel, p-cpe:/a:miracle:linux:bind-utils, p-cpe:/a:miracle:linux:bind, p-cpe:/a:miracle:linux:bind-chroot

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2009/8/4

弱點發布日期: 2007/12/17

參考資訊

CVE: CVE-2007-6283, CVE-2008-0122, CVE-2008-1447

IAVA: 2008-A-0045