openSUSE 安全性更新:bind (openSUSE-SU-2013:0605-1)
high Nessus Plugin ID 74953
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
bind 已更新至 9.8.4-P2,修正了多個安全性問題和錯誤。安全性修正已移除設定中對 regex.h 的檢查,以停用 regex 語法檢查,因為在某些平台上,它會將 BIND 暴露在 libregex 中的一個重大瑕疵下。[CVE-2013-2266] [RT #32688] https://kb.isc.org/article/AA-00871 (bnc#811876) 防止 named 在已啟用 DNS64 的伺服器上,因必要的宣告失敗而中止。這些當機問題可能是因收到特定查詢所致。(請注意,此修正是系列更新的子集程式,將完整隨附於 BIND 9.8.5 和 9.9.3 版;變更編號 #3388、RT #30996)[CVE-2012-5688] [RT #30792] 刻意建構的記錄組合可在填入其他回應區段時,造成 named 懸置。[CVE-2012-5166] [RT #31090] 針對其 RDATA 超過 65535 位元組的記錄查詢時,防止 named 宣告 (損毀) [CVE-2012-4244] [RT #30416] 在「不良快取」資料經過初始化之前使用該資料造成驗證時,防止 named 宣告 (損毀)。[CVE-2012-3817] [RT #30025] 已更正不當處理零長度 RDATA 可造成非預期行為的情況,包括終止 named 處理程序。[CVE-2012-1667] [RT #29644] 新功能 根據 RFC 6605,現在支援 DNSSEC 中的橢圓曲線數位簽章演算法金鑰和簽章。[RT #21918] 功能變更 改善 OpenSSL 錯誤記錄 [RT #29932] nslookup 現在會在無法獲得答覆時,傳回一個非零的結束代碼。[RT #29492] 錯誤修正 使用二進位模式開啟 Windows 上的原始檔案。[RT #30944] Static-stub 區域現在接受 'forward' 和 'fowarders' 選項 (通常是所參照之區域的子網域所需,以覆寫全域轉送選項)。傳統的 stub 區域已經可以使用這些選項,因此遺漏 'static-stub' 類型的區域是因為疏忽大意。[RT #30482] 當已簽署之 Rrset 的 RRSIG 即將到期時,在快取中限制其 TTL。這可防止無效 RRSIG 快取中的持續性,以協助從無法及時進行區域重新簽署的情況復原。透過此變更,一旦原始的 RRSIG 到期後,named 將會嘗試向授權伺服器取得新的 RRSIG (即使在其他情況下,舊記錄的 TTL 會造成 RRSIG 在快取中保留更久)。[RT #26429] 更正 Itanium 系統上所採用之 isc_atomic_xadd() 和 isc_atomic_cmpxchg() 的語法,以便利用不可部分完成作業,加速鎖定管理。若未更正語法,可能會不小心發生對相同結構的並行存取,並獲得無法預測的結果。
[RT #25181] 設定指令碼現在可正確支援並偵測 libxml2-2.8.x [RT #30440] 處理搭配 -w (永遠等待) 選項使用的時間值時,主機命令應該不再會在部分架構和版本上宣告。[RT #18723] 現在在剖析 named.conf 期間,將會偵測到 max-retry-time、min-retry-time、max-refresh-time、min-refresh-time 的無效零設定,而且會發出一個錯誤,而不是在啟動時觸發宣告失敗。[RT #27730] 從 zone.c 中的記錄訊息移除假性新行 [RT #30675] 使用 readline 支援 (亦即,在已安裝 readline 的系統上) 構建時,nsupdate 不再會在互動模式下非預期地終止。[RT #29550] 執行工作專屬作業的所有 named 工作現在共用相同的單一工作。在此變更之前,在 rndc 作業與其他功能 (例如,調整 adb 雜湊表的大小) 之間可能會有一個爭用情形。如果發生爭用情形,在大部分的情況下,named 將會使用宣告,非預期地終止。[RT #29872] 達到逾時限制時,確定伺服器從 ADB 快取終止,如此可以重新整理其學習過的屬性。在此變更之前,經常受到查詢的伺服器可能從來不會移除和重新初始化其項目。這對於間歇性連線一段時間後,可能會對授權伺服器錯誤地設定 'no-edns' 的 DNSSEC 驗證遞迴伺服器而言,特別重要。[RT #29856] 對先前的安全性變更增加額外的彈性 (3218),方法是,在更高的信任層級存在比對涵蓋類型和證實不存在的虛擬記錄時,防止在快取中新增 RRSIG 資料。先前的變更會防止從快取擷取不一致的資料以回應用戶端查詢,透過這個額外的變更,RRSIG 記錄將不再插入快取中。[RT #26809] 當寫入新的私密金鑰檔案造成現有檔案權限變更時,dnssec-settime 現在將會發出一個警告。[RT #27724] 修正變更 #3314 所引入的缺失,此缺失會在將 stub 區域儲存至磁碟時,造成失敗 (進而在某些情況下,導致 CPU 使用率過高)。[RT #29952] 現在可以再次使用多個控制金鑰。此功能是因為解決記憶體洩漏的變更 #3924 (RT #28265) 而不小心中斷。[RT #29694] 將 resolver-query-timeout 設定得太低,可造成 named 問題在失去連線後復原。[RT #29623] 若有可能,在忙碌的遞迴名稱伺服器上重複使用快取的 DS 和 RRSIG rrset,以減少快取中過時 Rrset 可能的構建 [RT #29446] 設定 RPZ 時,更正失敗以驗證資源記錄在某些情況下不存在。此外:
- 將選用的 'recursive-only yes|no' 新增至回應原則陳述式
- 將選用的 'max-policy-ttl' 新增至回應原則陳述式,以限制 'recursive-only no' 可以引入解析器快取的假資料
- 新增 'rpz-passthru' 當做 CNAME 原則記錄目標使用,以引入預先定義的 PASSTHRU 原則編碼 (仍接受舊編碼)。
- 當 queryperf 可以使用時,將 RPZ 效能測試新增至 bin/tests/system/rpz。[RT #26172] RRSIG signer-name 的大小寫處理現在以一致的方式處理:RRSIG 記錄是使用 signer-name,以小寫產生。大小寫皆可接受,但是如果無法驗證,我們會以小寫再試一次。[RT #27451]
- 更新 D root 名稱伺服器的 IPv4 位址。
解決方案
更新受影響的 bind 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=811876
https://kb.isc.org/docs/aa-00871
https://lists.opensuse.org/opensuse-updates/2013-04/msg00035.html
Plugin 詳細資訊
嚴重性: High
ID: 74953
檔案名稱: openSUSE-2013-296.nasl
版本: 1.7
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: High
基本分數: 8.5
時間分數: 6.3
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:bind, p-cpe:/a:novell:opensuse:bind-chrootenv, p-cpe:/a:novell:opensuse:bind-debuginfo, p-cpe:/a:novell:opensuse:bind-debugsource, p-cpe:/a:novell:opensuse:bind-devel, p-cpe:/a:novell:opensuse:bind-libs, p-cpe:/a:novell:opensuse:bind-libs-32bit, p-cpe:/a:novell:opensuse:bind-libs-debuginfo, p-cpe:/a:novell:opensuse:bind-libs-debuginfo-32bit, p-cpe:/a:novell:opensuse:bind-lwresd, p-cpe:/a:novell:opensuse:bind-lwresd-debuginfo, p-cpe:/a:novell:opensuse:bind-utils, p-cpe:/a:novell:opensuse:bind-utils-debuginfo, cpe:/o:novell:opensuse:12.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/3/27
參考資訊
CVE: CVE-2012-1667, CVE-2012-3817, CVE-2012-3868, CVE-2012-4244, CVE-2012-5166, CVE-2012-5688, CVE-2013-2266