MiracleLinux 7unbound-1.4.20-26.el7 (AXSA:2015-838:01)
high Nessus Plugin ID 289261
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 7 主機已安裝受 AXSA:2015-838:01 公告中所提及一個弱點影響的套件。Unbound 是一個驗證、遞回和快取 DNS(SEC) 解析器。
Unbound 的 C 實作是由 NLnet Labs 開發及維護。其依據的概念和演算法取自 Verisign labs、Nominet、Kirei 和 ep.net 開發的 java 原型。
Unbound 設計為一組模組化元件因此 DNSSEC (安全 DNS) 驗證和 stub-resolver (不作為伺服器執行而是連結至應用程式) 皆可輕鬆實現。
此版本修正的安全性問題
CVE-2014-8602 在 1.5.1 之前的 NLnet Labs Unbound 中iterator.c 未限制委派鏈結其允許遠端攻擊者透過大量或無限轉介造成拒絕服務 (記憶體和 CPU 消耗)。
修正的錯誤:
* 在此更新之前,cron 作業的時間組態在叫用 unbound-anchor 更新 root 區域金鑰時出現一個錯誤。因此,unbound-anchor 會是一個月叫用一次,而不是每日一次,從而不符合 RFC 5011。cron 作業已由每日叫用的 systemd 計時器單元代替。現在,root 區域金鑰驗證每天會在 24 小時的期間內隨機檢查,確保符合 RFC 5011。
* 之前,unbound 套件會將 systemd-tmpfiles 公用程式的設定檔安裝至 /etc/tmpfiles.d/ 目錄。因此,系統管理員在 /etc/tmpfiles.d/ 中進行的 unbound 變更在套件重新安裝或更新時會被覆寫。為修正此錯誤,unbound 已經修改,現會將設定檔安裝至 /usr/lib/tmpfiles.d/ 目錄。
因此,系統管理員在 /etc/tmpfiles.d/ 中的組態可在套件重新安裝或更新時保留,包括任何變更。
* unbound 伺服器預設組態包含使用 DNSSEC 後備驗證 (DLV) 登錄檔的 DNS 記錄驗證。Internet Systems Consortium (ISC) 計畫取代不再需要的 DLV 登錄檔服務,且 unbound 可能執行不必要的步驟。因此,已經從 unbound 伺服器預設組態移除 DLV 登錄檔的使用。unbound 現在不會嘗試使用 DLV 登錄檔執行 DNS 記錄驗證。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 unbound 和/或 unbound-libs 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 289261
檔案名稱: miracle_linux_AXSA-2015-838.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
Vendor
Vendor Severity: Low
CVSS v2
風險因素: Medium
基本分數: 4.3
時間性分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2014-8602
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:unbound-libs, p-cpe:/a:miracle:linux:unbound
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/11/30
弱點發布日期: 2014/12/8
參考資訊
CVE: CVE-2014-8602