openSUSEセキュリティ更新プログラム:bind(openSUSE-2020-1699)
medium Nessus プラグイン ID 141560
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
bind 用のこの更新は、次の問題を修正します:BINDがバージョン9.16.6にアップグレードされました:
注:
- DNSSECに関してbindがより厳格になりました。クエリが機能しない場合は、DNSSECの問題をチェックしてください。たとえば、bindがnamserverフォワーダーチェーンで使用される場合、転送DNSサーバーでDNSSECがサポートされている必要があります。
セキュリティ問題の修正:
- CVE-2020-8616:リクエストからトリガーできるクエリの数をさらに制限します。ルートサーバーとTLDサーバーは、max-recursion-queriesから除外されなくなりました。欠如しているネームサーバーをフェッチします。(bsc#1171740)アドレスレコードは、どのドメインでも4までに制限されています。
- CVE-2020-8617:TSIG BADTIME応答をリクエストとして再生すると、アサーション失敗が発生する可能性があります。
(bsc#1171740)
- CVE-2019-6477:TCPパイプライン化されたクエリがtcp-clients制限をバイパスする可能性がある問題を修正しました(bsc#1157051)。
- CVE-2018-5741:ドキュメントを修正しました(bsc#1109160)。
- CVE-2020-8618:レコードがTCPメッセージバッファに収まるかどうかを判断する際に、INSISTが発生する可能性がありました(bsc#1172958)。
- CVE-2020-8619:lib/dns/rbtdb.cでINSISTが発生する可能性がありました:new_reference()を特定のゾーンコンテンツおよびクエリパターンとともに使用します(bsc#1172958)。
- CVE-2020-8624:タイプ「subdomain」の「update-policy」ルールが、「zonesub」ルールとして間違って処理されていました。これにより、「subdomain」ルールで使用されるキーが、指定されたサブドメイン外で名前を更新する可能性がありました。この問題は、「subdomain」ルールがARMで説明されているように必ず再度処理されるようにすることで修正されました(bsc#1175443)。
- CVE-2020-8623:BIND 9がネイティブPKCS#11サポートでコンパイルされた場合、特別に細工されたパケットでPKCS#11RSA公開鍵のビット数を特定するコードでアサーション失敗が発生する可能性がありました(bsc#1175443)。
- CVE-2020-8621:QNAMEの最小化と転送が両方とも有効になっている特定のクエリ解決シナリオで、namedがクラッシュする可能性があります(bsc#1175443)。
- CVE-2020-8620:特別に細工された大きなTCP DNSメッセージを送信することで、アサーション失敗が発生する可能性がありました(bsc#1175443)。
- CVE-2020-8622:TSIG署名済みリクエストへの応答を検証する際に、アサーション失敗が発生する可能性がありました(bsc#1175443)。
その他の修正された問題:
- OpenSSL EdDSA実装にエンジンサポートを追加します。
- OpenSSL ECDSA実装にエンジンサポートを追加します。
- PKCS#11 EdDSAの実装をPKCS#11 v3.0に更新します。
- 一貫性のないメッセージIDを持つAXFRストリームについて警告します。
- ISC rwlockの実装をデフォルトに再設定します。
- AESおよびSHA2に対してcookie-secretsを使用する際の問題を修正しました(bsc#1161168)
- /var/lib/namedにデフォルトファイルをインストールし、 transactional-updatesを使用するシステムにchroot環境を作成しました(bsc#1100369、fate#325524)
- FIPSモードでbindが動作しない問題を修正しました(bsc#906079)。
- 依存関係の問題を修正しました(bsc#1118367およびbsc#1118368)。
- GeoIPサポートは終了しました。現在はGeoIP2が使用されています(bsc#1156205)。
- FIPSの問題を修正しました(bsc#1128220)。
- liblwresライブラリはUpstreamで廃止され、今後含まれません。
- NTPのサービス依存関係を追加し、bindの起動時にクロックが正確になるようにしました(bsc#1170667、bsc#1170713)。
- マスターファイルをロードする際に、ゾーンのapexでDSレコードを拒否します。UPDATEを通じたゾーンのapexでのDSレコード追加の試行をログに記録しますが、それ以外の場合は無視します。
-「max-stale-ttl」のデフォルト値が1週間から12時間に変更されました。
- ゾーンタイマーが統計チャネルを介してエクスポートされるようになりました。
-「primary」および「secondary」キーワードが、「check-names」のパラメーターとして使用される際に正しく処理されず、無視されていました。
-「rndc dnstap -roll <value>」は、保存されるファイル数を<value>に制限していませんでした。
-「rndc dnssec -status」コマンドを追加します。
- namedがクラッシュする可能性のあるいくつかの状況に対処しました。
- /var/lib/namedを所有者rootに変更:「named」グループの唯一のメンバーであるnamedには完全なr/wアクセスがありますが、侵害されたnamedの場合には、namedおよびperms rwxrwxr-tにより、rootが所有するディレクトリを変更できません。 [bsc#1173307、bind-chrootenv.conf]
- /etc/sysconfig/namedのNAMED_CONF_INCLUDE_FILESに「/etc/bind.keys」が追加され、ファイルが欠落しているという警告メッセージが表示されなくなりました(bsc#1173983)。
- rndc-confgenのすべての呼び出し(ベンダーファイルのinit/named system/lwresd.init system/named.init)から、rndc-confgenの失敗を引き起こす廃止されたオプション「-r /dev/urandom」を削除しました。
(bsc#1173311、bsc#1176674、bsc#1170713)
- /usr/bin/genDDNSkey:/usr/sbin/dnssec-keygenの呼び出しで-rオプションがBINDとして使用されなくなり、現在では、乱数性のソースとして/dev/randomではなく、暗号化ライブラリ(つまりOpenSSLまたはPKCS#11プロバイダー)で提供される乱数関数が使用されるようになりました。したがって、-rコマンドラインオプションがdnssec-keygenに影響を与えることはなくなりました。互換性を壊さないために、このオプションはgenDDNSkeyに残されます。Stefan Eisenwiener氏が提供するパッチ。 [bsc#1171313]
- libnsを別のサブパッケージに入れて、異なるsonumsによるlibiscサブパッケージ内のファイル競合を回避します(bsc#1176092)。
- /sbin/start_daemonが必要:systemdのコンテキストで使用されるスクリプトとレガシーsysvの両方のinitスクリプトで、start_daemonを使用します。
この更新はSUSEからインポートされました:SLE-15: 更新プロジェクトを更新します。
ソリューション
影響を受けるbindパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1100369
https://bugzilla.opensuse.org/show_bug.cgi?id=1109160
https://bugzilla.opensuse.org/show_bug.cgi?id=1118367
https://bugzilla.opensuse.org/show_bug.cgi?id=1118368
https://bugzilla.opensuse.org/show_bug.cgi?id=1128220
https://bugzilla.opensuse.org/show_bug.cgi?id=1156205
https://bugzilla.opensuse.org/show_bug.cgi?id=1157051
https://bugzilla.opensuse.org/show_bug.cgi?id=1161168
https://bugzilla.opensuse.org/show_bug.cgi?id=1170667
https://bugzilla.opensuse.org/show_bug.cgi?id=1170713
https://bugzilla.opensuse.org/show_bug.cgi?id=1171313
https://bugzilla.opensuse.org/show_bug.cgi?id=1171740
https://bugzilla.opensuse.org/show_bug.cgi?id=1172958
https://bugzilla.opensuse.org/show_bug.cgi?id=1173307
https://bugzilla.opensuse.org/show_bug.cgi?id=1173311
https://bugzilla.opensuse.org/show_bug.cgi?id=1173983
https://bugzilla.opensuse.org/show_bug.cgi?id=1175443
https://bugzilla.opensuse.org/show_bug.cgi?id=1176092
https://bugzilla.opensuse.org/show_bug.cgi?id=1176674
プラグインの詳細
深刻度: Medium
ID: 141560
ファイル名: openSUSE-2020-1699.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/10/20
更新日: 2024/2/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3.1
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N
CVSS スコアのソース: CVE-2020-8624
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2018-5741
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:bind-debugsource, p-cpe:/a:novell:opensuse:libisc1606-32bit-debuginfo, p-cpe:/a:novell:opensuse:sysuser-shadow, p-cpe:/a:novell:opensuse:bind-utils, p-cpe:/a:novell:opensuse:libdns1605-debuginfo, p-cpe:/a:novell:opensuse:libisc1606, p-cpe:/a:novell:opensuse:libns1604, p-cpe:/a:novell:opensuse:libisccc1600-debuginfo, p-cpe:/a:novell:opensuse:libns1604-32bit, p-cpe:/a:novell:opensuse:libns1604-32bit-debuginfo, p-cpe:/a:novell:opensuse:libuv1, p-cpe:/a:novell:opensuse:libns1604-debuginfo, p-cpe:/a:novell:opensuse:libuv1-32bit-debuginfo, p-cpe:/a:novell:opensuse:libdns1605-32bit-debuginfo, p-cpe:/a:novell:opensuse:bind-chrootenv, p-cpe:/a:novell:opensuse:bind-debuginfo, p-cpe:/a:novell:opensuse:libuv1-debuginfo, p-cpe:/a:novell:opensuse:libirs1601, p-cpe:/a:novell:opensuse:libisccc1600, p-cpe:/a:novell:opensuse:libuv-debugsource, cpe:/o:novell:opensuse:15.2, p-cpe:/a:novell:opensuse:bind-utils-debuginfo, p-cpe:/a:novell:opensuse:bind-devel-32bit, p-cpe:/a:novell:opensuse:libirs1601-32bit-debuginfo, p-cpe:/a:novell:opensuse:libisc1606-32bit, p-cpe:/a:novell:opensuse:libisccfg1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libuv-devel, p-cpe:/a:novell:opensuse:libirs1601-32bit, p-cpe:/a:novell:opensuse:libirs1601-debuginfo, p-cpe:/a:novell:opensuse:libisccc1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libisccfg1600-debuginfo, p-cpe:/a:novell:opensuse:libuv1-32bit, p-cpe:/a:novell:opensuse:sysuser-tools, p-cpe:/a:novell:opensuse:libbind9-1600, p-cpe:/a:novell:opensuse:libbind9-1600-32bit, p-cpe:/a:novell:opensuse:libirs-devel, p-cpe:/a:novell:opensuse:python3-bind, p-cpe:/a:novell:opensuse:bind, p-cpe:/a:novell:opensuse:libdns1605-32bit, p-cpe:/a:novell:opensuse:libisc1606-debuginfo, p-cpe:/a:novell:opensuse:libisccfg1600-32bit, p-cpe:/a:novell:opensuse:bind-devel, p-cpe:/a:novell:opensuse:libbind9-1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libbind9-1600-debuginfo, p-cpe:/a:novell:opensuse:libdns1605, p-cpe:/a:novell:opensuse:libisccc1600-32bit, p-cpe:/a:novell:opensuse:libisccfg1600
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/10/19
脆弱性公開日: 2019/1/16
参照情報
CVE: CVE-2017-3136, CVE-2018-5741, CVE-2019-6477, CVE-2020-8616, CVE-2020-8617, CVE-2020-8618, CVE-2020-8619, CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, CVE-2020-8624