openSUSEセキュリティ更新プログラム:bind(openSUSE-2020-1701)

medium Nessus プラグイン ID 141839

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

bind 用のこの更新は、次の問題を修正します:

BINDがバージョン9.16.6にアップグレードされました:

注:

- DNSSECに関してbindがより厳格になりました。クエリが機能しない場合は、DNSSECの問題をチェックしてください。たとえば、bindがnamserverフォワーダーチェーンで使用される場合、転送DNSサーバーでDNSSECがサポートされている必要があります。

セキュリティ問題の修正:

- CVE-2020-8616:リクエストからトリガーできるクエリの数をさらに制限します。ルートサーバーとTLDサーバーは、max-recursion-queriesから除外されなくなりました。欠如しているネームサーバーをフェッチします。(bsc#1171740)アドレスレコードは、どのドメインでも4までに制限されています。

- CVE-2020-8617:TSIG BADTIME応答をリクエストとして再生すると、アサーション失敗が発生する可能性があります。
(bsc#1171740)

- CVE-2019-6477:TCPパイプライン化されたクエリがtcp-clients制限をバイパスする可能性がある問題を修正しました(bsc#1157051)。

- CVE-2018-5741:ドキュメントを修正しました(bsc#1109160)。

- CVE-2020-8618:レコードがTCPメッセージバッファに収まるかどうかを判断する際に、INSISTが発生する可能性がありました(bsc#1172958)。

- CVE-2020-8619:lib/dns/rbtdb.cでINSISTが発生する可能性がありました:new_reference()を特定のゾーンコンテンツおよびクエリパターンとともに使用します(bsc#1172958)。

- CVE-2020-8624:タイプ「subdomain」の「update-policy」ルールが、「zonesub」ルールとして間違って処理されていました。これにより、「subdomain」ルールで使用されるキーが、指定されたサブドメイン外で名前を更新する可能性がありました。この問題は、「subdomain」ルールがARMで説明されているように必ず再度処理されるようにすることで修正されました(bsc#1175443)。

- CVE-2020-8623:BIND 9がネイティブPKCS#11サポートでコンパイルされた場合、特別に細工されたパケットでPKCS#11RSA公開鍵のビット数を特定するコードでアサーション失敗が発生する可能性がありました(bsc#1175443)。

- CVE-2020-8621:QNAMEの最小化と転送が両方とも有効になっている特定のクエリ解決シナリオで、namedがクラッシュする可能性があります(bsc#1175443)。

- CVE-2020-8620:特別に細工された大きなTCP DNSメッセージを送信することで、アサーション失敗が発生する可能性がありました(bsc#1175443)。

- CVE-2020-8622:TSIG署名済みリクエストへの応答を検証する際に、アサーション失敗が発生する可能性がありました(bsc#1175443)。

その他の修正された問題:

- OpenSSL EdDSA実装にエンジンサポートを追加します。

- OpenSSL ECDSA実装にエンジンサポートを追加します。

- PKCS#11 EdDSAの実装をPKCS#11 v3.0に更新します。

- 一貫性のないメッセージIDを持つAXFRストリームについて警告します。

- ISC rwlockの実装をデフォルトに再設定します。

- AESおよびSHA2に対してcookie-secretsを使用する際の問題を修正しました(bsc#1161168)

- /var/lib/namedにデフォルトファイルをインストールし、 transactional-updatesを使用するシステムにchroot環境を作成しました(bsc#1100369、fate#325524)

- FIPSモードでbindが動作しない問題を修正しました(bsc#906079)。

- 依存関係の問題を修正しました(bsc#1118367およびbsc#1118368)。

- GeoIPサポートは終了しました。現在はGeoIP2が使用されています(bsc#1156205)。

- FIPSの問題を修正しました(bsc#1128220)。

- liblwresライブラリはUpstreamで廃止され、今後含まれません。

- NTPのサービス依存関係を追加し、bindの起動時にクロックが正確になるようにしました(bsc#1170667、bsc#1170713)。

- マスターファイルをロードする際に、ゾーンのapexでDSレコードを拒否します。UPDATEを通じたゾーンのapexでのDSレコード追加の試行をログに記録しますが、それ以外の場合は無視します。

-「max-stale-ttl」のデフォルト値が1週間から12時間に変更されました。

- ゾーンタイマーが統計チャネルを介してエクスポートされるようになりました。

-「primary」および「secondary」キーワードが、「check-names」のパラメーターとして使用される際に正しく処理されず、無視されていました。

-「rndc dnstap -roll <value>」は、保存されるファイル数を<value>に制限していませんでした。

-「rndc dnssec -status」コマンドを追加します。

- namedがクラッシュする可能性のあるいくつかの状況に対処しました。

- /var/lib/namedを所有者rootに変更:「named」グループの唯一のメンバーであるnamedには完全なr/wアクセスがありますが、侵害されたnamedの場合には、namedおよびperms rwxrwxr-tにより、rootが所有するディレクトリを変更できません。 [bsc#1173307、bind-chrootenv.conf]

- /etc/sysconfig/namedのNAMED_CONF_INCLUDE_FILESに「/etc/bind.keys」が追加され、ファイルが欠落しているという警告メッセージが表示されなくなりました(bsc#1173983)。

- rndc-confgenのすべての呼び出し(ベンダーファイルのinit/named system/lwresd.init system/named.init)から、rndc-confgenの失敗を引き起こす廃止されたオプション「-r /dev/urandom」を削除しました。
(bsc#1173311、bsc#1176674、bsc#1170713)

- /usr/bin/genDDNSkey:/usr/sbin/dnssec-keygenの呼び出しで-rオプションがBINDとして使用されなくなり、現在では、乱数性のソースとして/dev/randomではなく、暗号化ライブラリ(つまりOpenSSLまたはPKCS#11プロバイダー)で提供される乱数関数が使用されるようになりました。したがって、-rコマンドラインオプションがdnssec-keygenに影響を与えることはなくなりました。互換性を壊さないために、このオプションはgenDDNSkeyに残されます。Stefan Eisenwiener氏が提供するパッチ。 [bsc#1171313]

- libnsを別のサブパッケージに入れて、異なるsonumsによるlibiscサブパッケージ内のファイル競合を回避します(bsc#1176092)。

- /sbin/start_daemonが必要:systemdのコンテキストで使用されるスクリプトとレガシーsysvの両方のinitスクリプトで、start_daemonを使用します。

この更新はSUSEからインポートされました:SLE-15: 更新プロジェクトを更新します。

ソリューション

影響を受けるbindパッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1100369

https://bugzilla.opensuse.org/show_bug.cgi?id=1109160

https://bugzilla.opensuse.org/show_bug.cgi?id=1118367

https://bugzilla.opensuse.org/show_bug.cgi?id=1118368

https://bugzilla.opensuse.org/show_bug.cgi?id=1128220

https://bugzilla.opensuse.org/show_bug.cgi?id=1156205

https://bugzilla.opensuse.org/show_bug.cgi?id=1157051

https://bugzilla.opensuse.org/show_bug.cgi?id=1161168

https://bugzilla.opensuse.org/show_bug.cgi?id=1170667

https://bugzilla.opensuse.org/show_bug.cgi?id=1170713

https://bugzilla.opensuse.org/show_bug.cgi?id=1171313

https://bugzilla.opensuse.org/show_bug.cgi?id=1171740

https://bugzilla.opensuse.org/show_bug.cgi?id=1172958

https://bugzilla.opensuse.org/show_bug.cgi?id=1173307

https://bugzilla.opensuse.org/show_bug.cgi?id=1173311

https://bugzilla.opensuse.org/show_bug.cgi?id=1173983

https://bugzilla.opensuse.org/show_bug.cgi?id=1175443

https://bugzilla.opensuse.org/show_bug.cgi?id=1176092

https://bugzilla.opensuse.org/show_bug.cgi?id=1176674

https://bugzilla.opensuse.org/show_bug.cgi?id=906079

https://features.opensuse.org/325524

プラグインの詳細

深刻度: Medium

ID: 141839

ファイル名: openSUSE-2020-1701.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/10/23

更新日: 2022/5/12

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2020-8624

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

Base Score: 4

Temporal Score: 3.1

ベクトル: AV:N/AC:L/Au:S/C:N/I:P/A:N

現状ベクトル: E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 6.5

Temporal Score: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:bind, p-cpe:/a:novell:opensuse:bind-chrootenv, p-cpe:/a:novell:opensuse:bind-debuginfo, p-cpe:/a:novell:opensuse:bind-debugsource, p-cpe:/a:novell:opensuse:bind-devel, p-cpe:/a:novell:opensuse:bind-devel-32bit, p-cpe:/a:novell:opensuse:bind-utils, p-cpe:/a:novell:opensuse:bind-utils-debuginfo, p-cpe:/a:novell:opensuse:libbind9-1600, p-cpe:/a:novell:opensuse:libbind9-1600-32bit, p-cpe:/a:novell:opensuse:libbind9-1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libbind9-1600-debuginfo, p-cpe:/a:novell:opensuse:libdns1605, p-cpe:/a:novell:opensuse:libdns1605-32bit, p-cpe:/a:novell:opensuse:libdns1605-32bit-debuginfo, p-cpe:/a:novell:opensuse:libdns1605-debuginfo, p-cpe:/a:novell:opensuse:libirs-devel, p-cpe:/a:novell:opensuse:libirs1601, p-cpe:/a:novell:opensuse:libirs1601-32bit, p-cpe:/a:novell:opensuse:libirs1601-32bit-debuginfo, p-cpe:/a:novell:opensuse:libirs1601-debuginfo, p-cpe:/a:novell:opensuse:libisc1606, p-cpe:/a:novell:opensuse:libisc1606-32bit, p-cpe:/a:novell:opensuse:libisc1606-32bit-debuginfo, p-cpe:/a:novell:opensuse:libisc1606-debuginfo, p-cpe:/a:novell:opensuse:libisccc1600, p-cpe:/a:novell:opensuse:libisccc1600-32bit, p-cpe:/a:novell:opensuse:libisccc1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libisccc1600-debuginfo, p-cpe:/a:novell:opensuse:libisccfg1600, p-cpe:/a:novell:opensuse:libisccfg1600-32bit, p-cpe:/a:novell:opensuse:libisccfg1600-32bit-debuginfo, p-cpe:/a:novell:opensuse:libisccfg1600-debuginfo, p-cpe:/a:novell:opensuse:libns1604, p-cpe:/a:novell:opensuse:libns1604-32bit, p-cpe:/a:novell:opensuse:libns1604-32bit-debuginfo, p-cpe:/a:novell:opensuse:libns1604-debuginfo, p-cpe:/a:novell:opensuse:libuv-debugsource, p-cpe:/a:novell:opensuse:libuv-devel, p-cpe:/a:novell:opensuse:libuv1, p-cpe:/a:novell:opensuse:libuv1-32bit, p-cpe:/a:novell:opensuse:libuv1-32bit-debuginfo, p-cpe:/a:novell:opensuse:libuv1-debuginfo, p-cpe:/a:novell:opensuse:python3-bind, p-cpe:/a:novell:opensuse:sysuser-shadow, p-cpe:/a:novell:opensuse:sysuser-tools, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/10/20

脆弱性公開日: 2019/1/16

参照情報

CVE: CVE-2017-3136, CVE-2018-5741, CVE-2019-6477, CVE-2020-8616, CVE-2020-8617, CVE-2020-8618, CVE-2020-8619, CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, CVE-2020-8624