OracleVM 3.3 : bind (OVMSA-2014-0084)

high Nessus Plugin ID 80247

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:

- 修正 CVE-2014-8500 (#1171973)

- 在產生 rndc.key 檔案時使用 /dev/urandom (#951255)

- 從 /usr/share/doc 中移除假的檔案,其由錯誤 #1092035 的修正引入

- 新增對 TLSA 資源記錄的支援 (#956685)

- 增加 lwresd 背景工作的預設,並使背景工作和用戶端物件數可供設定 (#1092035)

- 修正使用 -r 選項時,nsupdate 中的分割錯誤 (#1064045)

- 修正傳送 UDP 查詢時,主機工具中傳送緩衝區上的爭用情形 (#1008827)

- 允許在 allow-notify 組態陳述式中使用 TSIG 的驗證 (#1044545)

- 修正 /var/named/chroot/etc/localtime 的 SELinux 內容 (#902431)

- 包含具有 root 伺服器位址的更新 named.ca 檔案 (#917356)

- 若在啟動時有 rndc.conf,不會產生 rndc.key (#997743)

- 修正有關如何停用 IDN 的 dig 手冊頁 (#1023045)

- 處理 ICMP 無法與目的地取得連線 (通訊協定無法連線) 回應 (#1066876)

- 以 --with-dlopen=yes 設定 BIND,來支援可動態載入的 DLZ 驅動程式 (#846065)

- 修正 initscript 以在呼叫 checkconfig/configtest/check/test 時傳回正確的結束值 (#848033)

- 在以執行伺服器執行 initscript 命令 configtest 時,不會 (卸載)掛載 chroot 檔案系統 (#851123)

- 修正 zone2sqlite 工具以接受包含 '.' 或 '-' 或是以數字開頭的區域 (#919414)

- 修正 initscript 以不掛載 chroot 檔案系統,該系統為已經在執行的 named (#948743)

- 修正 initscript 以檢查 PID-file 中的 PID 是否真的為執行 named 伺服器的 PID (#980632)

- 更正所安裝文件擁有權 (#1051283)

- 以 --enable-filter-aaaa 進行設定,以便使用 filter-aaaa-on-v4 選項 (#1025008)

- 修正損毀解析器擷取物件時的爭用情形 (#993612)

- 修正 RRL 功能以包含 referrals-per-second 和 nodata-per-second 選項 (#1036700)

- 修正 SERVFAIL 至 NXDOMAIN 容錯移轉時的分割錯誤 (#919545)

- 修正 (CVE-2014-0591)

- 修正 gssapictx 記憶體洩漏 (#911167)

- 修正 (CVE-2013-4854)

- 修正 (CVE-2013-2266)

- 在 -devel subpkg 中隨附 dns/rrl.h

- 從 /usr/share/doc 中移除一個假的檔案,其由 RRL 修補程式引入

- 修正 (CVE-2012-5689)

- 新增回應率限制修補程式 (#873624)

解決方案

更新受影響的 bind-libs / bind-utils 套件。

另請參閱

http://www.nessus.org/u?9f3bc143

Plugin 詳細資訊

嚴重性: High

ID: 80247

檔案名稱: oraclevm_OVMSA-2014-0084.nasl

版本: 1.11

類型: local

已發布: 2014/12/26

已更新: 2021/1/4

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 5.8

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:bind-libs, p-cpe:/a:oracle:vm:bind-utils, cpe:/o:oracle:vm_server:3.3

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/12/24

弱點發布日期: 2013/1/25

參考資訊

CVE: CVE-2012-5689, CVE-2013-2266, CVE-2013-4854, CVE-2014-0591, CVE-2014-8500

BID: 57556, 58736, 61479, 64801, 71590