検出

Fedora 27:knot / knot-resolver(2017-7a7ea1cf50)

high Nessus プラグイン ID 105910

Language:

概要

リモートのFedoraホストに1つ以上のセキュリティ更新プログラムがありません。

説明

Knot DNSとKnot Resolverの重要な更新:

Knot Resolver 1.5.0(2017-11-02)================================

バグ修正

--------

 - Darwinでのモジュールのロードを修正します

改善

------------

 - Keytag Queryを使用してSignaling Trust Anchor Knowledgeをサポートする新しいモジュールta_signal_query(RFC 8145セクション5)。デフォルトで有効になります

 - より多くのレコードに対する検証は試みますが、より少ないレコードに対する検証が必要です(例えば、サーバーが余分なレコードを追加するがRRSIGを省略する場合にSERVFAILを回避します)

Knot Resolver 1.4.0(2017-09-22)================================

互換性のない変更

--------------------

 - lua:クエリフラグセットが単純な整数として表現されなくなりました。kres.query.*が機能しなくなり、kr_query_tから簡易なメソッドの'hasflag'と'resolved'が削除されました。代わりに、qry.flags.NO_0X20 = trueのようなコードを作成できます。

バグ修正

--------

 - 複数のforkのいずれかの終了を修正します(#150)

 - cache:LMDBトランザクションの使用方法を変更します。これは、特に、複数のkresd forkで過剰なスペースが使用される一部のケースを修正します(#240)。

改善

------------

 - policy.suffix:aho-corasickコードを更新します(#200)

 - ルートヒントがzonefileからロードされるようになりました。hints.root_file()として公開されます。コンパイル中にROOTHINTSを定義することによって、パスをオーバーライドできます。

 - policy.FORWARD:符号なしNSレコードを追加するリゾルバーに対処します(#248)

 - ワイルドカード応答で認証局に送られていた不要なレコードを削減します

Knot Resolver 1.3.3(2017-08-09)================================

セキュリティ

--------

 - 重大なDNSSEC欠陥を修正します。DNSKEYへのトラストチェーンが有効であるという前提で、署名されたデータが署名に使用されたDNSKEYのbailiwick内に存在しなくても、署名が有効として受け入れられる場合があります。

バグ修正

--------

 - 反復:即時SERVFAILの代わりに、不正なラベルカウントを含むRRSIGをスキップします

 - utils:ランダムジェネレーターの可能性のある不正なシーディングを修正します

 - modules/http:Prometheusテキスト形式との互換性を修正します

改善

------------

 - policy:RFC6761(#205)から残りのspecial-useドメイン名を実装し、これらのルールを他の非チェーンルールが適用されない場合にのみ適用するようにします

Knot DNS 2.6.1(2017-11-02)================================

特徴:

---------

 - DNSSEC署名でのNSEC3オプトアウトサポート

 - 新しいCDS/CDNSKEY公開構成オプション

改善:

-------------

 - DNSKEYの詳細を含む簡略化されたDNSSECログメッセージ

 - +tls-caも+tls-pinも与えられない場合、kdigの+tls-hostnameは+tls-caを意味します

 - DNSSECキーロールオーバーと共有キーに関する新しいドキュメントセクション

 - Keymgrが、生成されたキーに対して役に立たないアルゴリズム番号を出力しなくなりました

 - Kdigは未知のRCODEを数値形式で出力します

 - LLVM libFuzzerのサポートを改善します

バグ修正:

---------

 - zone apex内に存在し、NSEC3が使用される場合の不完全なDNAMEセマンティックチェック

 - ゾーンロードイベント中に即時ゾーンフラッシュがスケジュールされない

 - クエリモジュールがロードされる場合の動的ゾーン追加時にサーバーがクラッシュする

 - SNIがサーバーIPアドレスに設定されているため、KdigがTLS経由で接続できない

 - 入力の終了時点での領域外メモリアクセスの可能性

 - kdigでデフォルトで有効になっているTCP Fast Openにより、TLS接続が切断されます

Knot DNS 2.6.0(2017-09-29)================================

特徴:

---------

 - オンスレーブ(インライン)署名サポート

 - 自動DNSSECキーアルゴリズムロールオーバー

 - DNSSECでのEd25519アルゴリズムサポート(GnuTLS 3.6.0が必要)

 - 新しい'journal-content'構成オプションと'zonefile-load'構成オプション

 - keymgrが構成で設定されたユーザー/グループとして実行しようとする

 - keymgr経由のKASP DBへの公開専用DNSSECキーのインポート

 - NSEC3結果と親DSクエリイベントがタイマーDBで保持される

 - クエリモジュール内の応答抑制のための新しい処理状態

 - サポートされている場合に、サーバー側TCP Fast Openを有効にする

 - kdigでのTCP Fast Openのサポート

改善:

-------------

 - 以前のrdata dnameに関連する場合のレコード所有者の圧縮を改善します

 - NSEC(3)チェーンは更新のたびに全体が再計算されなくなりました

 - ログファイル内の不整合な引用や不必要な引用を削除します

 - 一度にキーロールオーバーが重複しないようにします

 - DNSSSEC関連のセマンティックチェックを増やします

 - keymgrのタイムスタンプ形式を拡張しました

バグ修正:

---------

 - ジャーナルの空き領域計算が不適切であるためにスペース処理が非効率的になる

 - 非対称ルーティングが存在するLinuxでインターフェイスが自動的に破損

Knot DNS 2.5.6(2017-11-02)================================

改善:

-------------

 - Keymgrが、生成されたキーに対して役に立たないアルゴリズム番号を出力しなくなりました

バグ修正:

---------

 - zone apex内に存在し、NSEC3が使用される場合の不完全なDNAMEセマンティックチェック

 - ゾーンロードイベント中に即時ゾーンフラッシュがスケジュールされない

 - クエリモジュールがロードされる場合の動的ゾーン追加時にサーバーがクラッシュする

 - SNIがサーバーIPアドレスに設定されているため、KdigがTLS経由で接続できない

Knot DNS 2.5.5(2017-09-29)================================

改善:

-------------

 - TSIG処理での一定時間メモリ比較

 - ctype関数の適切な使用

 - 生成されたRRSIGレコードの開始時間が90分前になっている

バグ修正:

---------

 - CNAMEレコードの場合のNSECに不適切なオンライン署名

 - dnstapレコード内の不適切なタイムスタンプ

 - EDNSサブネットクライアントの検証で、有効なペイロードが拒否される

 - モジュール構成セマンティックチェックが実行されない

 - 異常な入力によるKzonecheckセグメンテーション違反

Knot DNS 2.5.4(2017-08-31)================================

改善:

-------------

 - 新しい最小および最大リフレッシュ間隔構成オプション(Manabu Sonoda氏に感謝)

 - ゾーンファイル同期が無効にされた非強制フラッシュ時の新しい警告

 - 新しい'dnskey' keymgrコマンド

 - それを必要とするアーキテクチャでのlibatomicとのリンク(Pierre-Olivier Mercier氏に感謝)

 - keymgrコマンド出力のリストから「OK」を削除しました

 - ジャーナルおよびkeymgrの文書化とロギングを拡張しました

バグ修正:

---------

 - zone-in-journalに伴う特定のコーナーケースの不適切な処理

 - 'share' keymgrコマンドが機能しない

 - query-sizeとreply-sizeの統計オプションで構成された場合にサーバーがクラッシュする

 - 一部の32ビットプラットフォームでの無効な形式の大きい整数構成値

 - Keymgrで日付入力の解析時にローカル時間が使用される

 - IXFRクエリ時のkdigでのメモリリーク

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるknotおよび/またはknot-resolverのパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7a7ea1cf50

プラグインの詳細

深刻度: High

ID: 105910

ファイル名: fedora_2017-7a7ea1cf50.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

公開日: 2018/1/15

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:knot, p-cpe:/a:fedoraproject:fedora:knot-resolver, cpe:/o:fedoraproject:fedora:27

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2017/11/17

脆弱性公開日: 2017/11/17

参照情報