Fedora 27:knot / knot-resolver(2017-7a7ea1cf50)

high Nessus プラグイン ID 105910

Language:

概要

リモートのFedoraホストに1つ以上のセキュリティ更新プログラムがありません。

説明

Knot DNSとKnot Resolverの重要な更新:

Knot Resolver 1.5.0(2017-11-02)================================

バグ修正

--------

- Darwinでのモジュールのロードを修正します

改善

------------

- Keytag Queryを使用してSignaling Trust Anchor Knowledgeをサポートする新しいモジュールta_signal_query(RFC 8145セクション5)。デフォルトで有効になります

- より多くのレコードに対する検証は試みますが、より少ないレコードに対する検証が必要です(例えば、サーバーが余分なレコードを追加するがRRSIGを省略する場合にSERVFAILを回避します)

Knot Resolver 1.4.0(2017-09-22)================================

互換性のない変更

--------------------

- lua:クエリフラグセットが単純な整数として表現されなくなりました。kres.query.*が機能しなくなり、kr_query_tから簡易なメソッドの'hasflag'と'resolved'が削除されました。代わりに、qry.flags.NO_0X20 = trueのようなコードを作成できます。

バグ修正

--------

- 複数のforkのいずれかの終了を修正します(#150)

- cache:LMDBトランザクションの使用方法を変更します。これは、特に、複数のkresd forkで過剰なスペースが使用される一部のケースを修正します(#240)。

改善

------------

- policy.suffix:aho-corasickコードを更新します(#200)

- ルートヒントがzonefileからロードされるようになりました。hints.root_file()として公開されます。コンパイル中にROOTHINTSを定義することによって、パスをオーバーライドできます。

- policy.FORWARD:符号なしNSレコードを追加するリゾルバーに対処します(#248)

- ワイルドカード応答で認証局に送られていた不要なレコードを削減します

Knot Resolver 1.3.3(2017-08-09)================================

セキュリティ

--------

- 重大なDNSSEC欠陥を修正します。DNSKEYへのトラストチェーンが有効であるという前提で、署名されたデータが署名に使用されたDNSKEYのbailiwick内に存在しなくても、署名が有効として受け入れられる場合があります。

バグ修正

--------

- 反復:即時SERVFAILの代わりに、不正なラベルカウントを含むRRSIGをスキップします

- utils:ランダムジェネレーターの可能性のある不正なシーディングを修正します

- modules/http:Prometheusテキスト形式との互換性を修正します

改善

------------

- policy:RFC6761(#205)から残りのspecial-useドメイン名を実装し、これらのルールを他の非チェーンルールが適用されない場合にのみ適用するようにします

Knot DNS 2.6.1(2017-11-02)================================

特徴:

---------

- DNSSEC署名でのNSEC3オプトアウトサポート

- 新しいCDS/CDNSKEY公開構成オプション

改善:

-------------

- DNSKEYの詳細を含む簡略化されたDNSSECログメッセージ

- +tls-caも+tls-pinも与えられない場合、kdigの+tls-hostnameは+tls-caを意味します

- DNSSECキーロールオーバーと共有キーに関する新しいドキュメントセクション

- Keymgrが、生成されたキーに対して役に立たないアルゴリズム番号を出力しなくなりました

- Kdigは未知のRCODEを数値形式で出力します

- LLVM libFuzzerのサポートを改善します

バグ修正:

---------

- zone apex内に存在し、NSEC3が使用される場合の不完全なDNAMEセマンティックチェック

- ゾーンロードイベント中に即時ゾーンフラッシュがスケジュールされない

- クエリモジュールがロードされる場合の動的ゾーン追加時にサーバーがクラッシュする

- SNIがサーバーIPアドレスに設定されているため、KdigがTLS経由で接続できない

- 入力の終了時点での領域外メモリアクセスの可能性

- kdigでデフォルトで有効になっているTCP Fast Openにより、TLS接続が切断されます

Knot DNS 2.6.0(2017-09-29)================================

特徴:

---------

- オンスレーブ(インライン)署名サポート

- 自動DNSSECキーアルゴリズムロールオーバー

- DNSSECでのEd25519アルゴリズムサポート(GnuTLS 3.6.0が必要)

- 新しい'journal-content'構成オプションと'zonefile-load'構成オプション

- keymgrが構成で設定されたユーザー/グループとして実行しようとする

- keymgr経由のKASP DBへの公開専用DNSSECキーのインポート

- NSEC3結果と親DSクエリイベントがタイマーDBで保持される

- クエリモジュール内の応答抑制のための新しい処理状態

- サポートされている場合に、サーバー側TCP Fast Openを有効にする

- kdigでのTCP Fast Openのサポート

改善:

-------------

- 以前のrdata dnameに関連する場合のレコード所有者の圧縮を改善します

- NSEC(3)チェーンは更新のたびに全体が再計算されなくなりました

- ログファイル内の不整合な引用や不必要な引用を削除します

- 一度にキーロールオーバーが重複しないようにします

- DNSSSEC関連のセマンティックチェックを増やします

- keymgrのタイムスタンプ形式を拡張しました

バグ修正:

---------

- ジャーナルの空き領域計算が不適切であるためにスペース処理が非効率的になる

- 非対称ルーティングが存在するLinuxでインターフェイスが自動的に破損

Knot DNS 2.5.6(2017-11-02)================================

改善:

-------------

- Keymgrが、生成されたキーに対して役に立たないアルゴリズム番号を出力しなくなりました

バグ修正:

---------

- zone apex内に存在し、NSEC3が使用される場合の不完全なDNAMEセマンティックチェック

- ゾーンロードイベント中に即時ゾーンフラッシュがスケジュールされない

- クエリモジュールがロードされる場合の動的ゾーン追加時にサーバーがクラッシュする

- SNIがサーバーIPアドレスに設定されているため、KdigがTLS経由で接続できない

Knot DNS 2.5.5(2017-09-29)================================

改善:

-------------

- TSIG処理での一定時間メモリ比較

- ctype関数の適切な使用

- 生成されたRRSIGレコードの開始時間が90分前になっている

バグ修正:

---------

- CNAMEレコードの場合のNSECに不適切なオンライン署名

- dnstapレコード内の不適切なタイムスタンプ

- EDNSサブネットクライアントの検証で、有効なペイロードが拒否される

- モジュール構成セマンティックチェックが実行されない

- 異常な入力によるKzonecheckセグメンテーション違反

Knot DNS 2.5.4(2017-08-31)================================

改善:

-------------

- 新しい最小および最大リフレッシュ間隔構成オプション(Manabu Sonoda氏に感謝)

- ゾーンファイル同期が無効にされた非強制フラッシュ時の新しい警告

- 新しい'dnskey' keymgrコマンド

- それを必要とするアーキテクチャでのlibatomicとのリンク(Pierre-Olivier Mercier氏に感謝)

- keymgrコマンド出力のリストから「OK」を削除しました

- ジャーナルおよびkeymgrの文書化とロギングを拡張しました

バグ修正:

---------

- zone-in-journalに伴う特定のコーナーケースの不適切な処理

- 'share' keymgrコマンドが機能しない

- query-sizeとreply-sizeの統計オプションで構成された場合にサーバーがクラッシュする

- 一部の32ビットプラットフォームでの無効な形式の大きい整数構成値

- Keymgrで日付入力の解析時にローカル時間が使用される

- IXFRクエリ時のkdigでのメモリリーク

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるknotおよび/またはknot-resolverのパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7a7ea1cf50

プラグインの詳細

深刻度: High

ID: 105910

ファイル名: fedora_2017-7a7ea1cf50.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

公開日: 2018/1/15

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:knot, p-cpe:/a:fedoraproject:fedora:knot-resolver, cpe:/o:fedoraproject:fedora:27

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2017/11/17

脆弱性公開日: 2017/11/17

参照情報