検出

openSUSEセキュリティ更新プログラム:nsd(openSUSE-2020-2222)

critical Nessus プラグイン ID 144120

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このnsd用の更新プログラムでは、次の問題が修正されています:

nsdが新しいUpstreamリリース4.3.4に更新されました

機能:

 - PR #141のマージ:ZONEMD RRタイプ。

バグ修正:

 - シンボリックリンクがpidfileのchownと干渉しない問題を修正します(boo#1179191、CVE-2020-28935)

 - #128 の修正:sendmmsgが失敗した場合に無効なポート番号が記録される問題を修正します:無効な引数。

 - #133 の修正:ローカル(スタック)バッファの0-initを修正します。

 - #134 の修正:IPV4_MINIMAL_RESPONSE_SIZE対EDNS_MAX_MESSAGE_LEN。

 - ワイルドカードnodataタイプのDS回答に対して、欠落している最も近いエンクローサーNSEC3を追加するための修正。

 - #138 の修正:QUESTIONが空の場合、NSDはEDNS以外の回答を返します。

 - #142 の修正:NODATAは、CNAMEチェーンの後の権限セクションでSOAの欠落に応答します。

新しいUpstreamリリース4.3.3:

機能:

 - DNS flag day 2020のアドバイスに従い、デフォルトのEDNSメッセージサイズを1232に設定します。

 - PR #113を修正とマージしました。リッスンするIPアドレスをリストする代わりに、nsd.confでip-address: eth0を使用してインターフェイス名を指定できます。これにより、そのインターフェイスのIPアドレスが使用されます。

 - 新しい Upstream リリース 4.3.2

機能:

 - #96 の修正:log-only-syslog:yesはsyslogのみを使用するように設定します。デフォルト構成とsystemdによってログメッセージが重複するという問題を修正します。

 - #107 の修正:nsd -vは、構成行、opensslバージョン、およびlibeventバージョンを表示します。

 #103を#110で修正します:min-expire-timeオプション。有効期限の下限を設定するには。秒数またはrefresh+retry+1で表されます。

バグ修正:

 - 冗長でない限り、起動時にログからリッスン行を省略するように修正します。

 - #97 の修正:EDNSの不明なバージョン:クエリが応答しません。

 - #99 の修正:reuseportを有効にしたソケットプロパティのコピーを修正します。

 - tcp-timeoutのデフォルト値を文書化します。

 - and0x000からのPR#102をマージ:drop-updatesのドキュメントで欠落しているデフォルトを追加します。

 - pidfile警告のリンク解除を修正します(権限により可能でない場合)。nsdは、高い詳細レベルでメッセージを表示できます。

 - contrib/nsd.serviceの例が複雑すぎて役に立たないため削除しました。

 - Nomisからの#108をマージ:max-retry-timeの説明を明確化します。

 - udp送信バッファが一杯の場合には再試行して、バッファスペースが使用可能になるまで待機します。

 - sendmmsgおよびrecvmmsg置換関数から、errnoリセット動作を削除します。

 - 異なるnsd-control-setup -h終了コードのユニットテストを修正します。

 - jaredmauchから#112をマージ:古いシリアル番号が原因でNSDがIXFRを拒否する場合に、古いシリアルと新しいシリアルを記録します。

 - #106 の修正:より適切にxfrd境界に準拠するようにします。リフレッシュおよび再試行の回数。

 - #105 の修正:hash_treeをクリアするとは、単にツリーを空にすることを意味します。

新しい Upstream リリース 4.3.1

バグ修正:

 - gearnodeでPR #91をマージ:nsd-control-setupは証明書を再作成します。「-r」オプションは証明書を再作成します。
 指定しないと、存在しない場合には作成されます。それ以外の場合には変更されません。

新しい Upstream リリース 4.3.0

機能:

 - 利用可能な場合、ランダム性にgetrandom()を使用するように修正します。

 - #56 の修正:NSDのスパースTSIG署名サポートをドロップします。最新のdraft-ietf-dnsop-rfc2845bis-06(セクション5.3.1)に従って、すべてのaxfrパケットをTSIGで署名します。

 - buddynsからのプルリクエスト#59をマージ:confキーip-transparentに対するFreeBSDサポートを追加します。

 - 特定のcpuにサーバープロセスを固定する機能を追加します。

 - 選択したサーバープロセスにIPアドレスを固定する機能を追加します。

 - 個々のプロセスを識別するためのプロセスタイトルを設定します。

 - PR#22のマージ:minimise-any:Daisuke Higashi氏からの、人気のある大規模でないRRsetを優先します。

 - LinuxでSO_BINDTODEVICEのサポートを追加します。

 - オペコードUPDATEでクエリをドロップする機能を追加します。

バグ修正:

 - nsd.conf.sample.inの空白を修正します。Paul Wouters氏からのパッチです。

 - nsd.confでuse-systemdが無視されます。NSDがlibsystemdでコンパイルされている場合、可能であれば常に準備状態を示します。

 - 注意:manページでは、use-systemdは不要であり、無視されます。

 - 権限セクションが応答でエコーされないように、IXFRの応答を修正します。

 - 再試行の待機がゾーン転送で1日を超えない問題を修正します。

 - https://nlnetlabs.nl/people/にしたがってキーリングを更新

新しいUpstreamリリース4.2.3:

 - confine-to-zoneは、ゾーン外の追加情報を返さないようにNSDを構成します。

 - pidfile ''により、pidfileなしでNSDを実行できます

 - READY_FDによる準備通知のサポートを追加

 - ixfrエラーの過剰なロギングを修正します。axfrへのフォールバックが可能な場合にログを停止します。ログは高い詳細度で有効です。

 - nsd.confインクルードは、インクルードステートメントにglobからの「*」が含まれる場合、昇順でソートされます。

 - tlsハンドシェイクエラーでのログアドレスと失敗の理由を修正します。高い詳細度が使用されない限り一部を抑制します(unboundと同じ)。

 - 異なるUDPハンドラーの数が1つに削減されました。 recvmmsgおよびsendmmsgの実装が、すべてのプラットフォームで使用されるようになりました。

 - 指定された関数にソケットオプションが設定されるようになり、再利用が容易になりました。

 - ソケットセットアップが簡素化され、再利用が容易になりました。

 - 構成パーサーで、オプションが指定されたコンテキストが認識されるようになりました。

 - remote-controlがトップレベルのnsd.conf属性であることを文書化します。

 - %postのnsdユーザーのレガシーアップグレードを削除します(boo#1157331)

新しいUpstreamリリース4.2.2:

 - #20 の修正:CVE-2019-13207 dname_concatenate()関数のスタックベースのバッファオーバーフロー。Frederic Cambus氏によって報告されました。これにより、無効な形式のゾーンファイルでゾーンパーサーがクラッシュします。これは、アサーションが有効な場合にはアサーションによってキャッチされます。

 - #19 の修正:配列インデックスの不適切な検証によって引き起こされる領域外読み取り。Frederic Cambus氏によって報告されました。
 RRSIGと定義が一致していないため、ゾーンパーサーがタイプSIGで失敗します。

 - PR #23:nsd.conf manページの誤字を修正します。

 - SSHFPレコードのハッシュの長さが間違っている場合にNSDが警告する問題を修正します。

 - #25 の修正:NSDは拡張ダウンタイムの後にゾーンをリフレッシュしません。古いゾーンをリフレッシュします。

 - SSLコンテキストで再ネゴシエーションを設定しないことにより、クライアントセッションの再ネゴシエーションを停止します。

 - #29 の修正:SSHFPチェックのNULLポインターデリファレンス。

 - #30 の修正:ドメイン名の欠落によるSSHFPチェックの失敗。

 - 残りの秒(マイクロ秒)のための、minieventのtimeval_adに対する修正。

 - PR #31:nsd-control:欠落しているstdioヘッダーを追加します。

 - PR #32:tsig:HAVE_SSLなしのコンパイルを修正します。

 - xfrd終了時にtlsコンテキストをクリーンアップします。

 - #33 の修正:終了時の残りのストリームのサービスにおけるセグメンテーション違反を修正します。

 - ゾーン外データのエラーメッセージを修正して、より多くの情報を含めます。

新しいUpstreamリリース4.2.1:

 - 機能:

 - num.tlsおよびnum.tls6のstatカウンターを追加しました。

 - PR #12:Jeroen Koekkoek氏による、nsd.confのsend-buffer-size、receive-buffer-size、tcp-reject-overflowオプション。

 - #14を修正します。tcp接続では1/10がアクティブとなり、毎秒動作する必要があるため、リロード中に完了する時間を確保します。これは、バージョン更新中に古いバージョンで残るプロセスです。

 - バグ修正:

 - #13 の修正:一部のログエントリの末尾に不要なドットがあります。ログエントリの更新されたシリアル番号の後のドットを削除します。

 - TLS暗号選択を修正します。以前は冗長で、AESGCMよりもCHACHA20-POLY1305が優先され、読みやすくありませんでした。

 - #15 の修正:SSLライブラリのクラッシュ。TLSの構成時にTCPアクセスの変数を初期化します。

 - Mykhailo Danylenko氏が報告した、tlsハンドシェイクイベントコールバック関数の誤りを修正します。

 - nsd-checkconf -hの出力を修正します。

新しいUpstreamリリース4.2.0:

 - TCP Fast Openを実装します

 - DNS over TLSを追加しました

 - tls-service-ocspオプションによるTLS OCSP Staplingのサポート

 - 新しいオプションhide-identityをnsd.confで使用すると、NSDがchaosクラス応答を誘発するプローブクエリのホスト名で応答しないようにできます。これはRFC4892に準拠します

 - TLS1.0、TLS1.1および脆弱な暗号を無効にし、CIPHER_SERVER_PREFERENCEを有効にします

Upstreamリリース4.1.27に更新してください:

 - 機能:

 - デフォルトでは、応答でRRが1つのみ含まれるANYを拒否します。Daisuke Higashi氏によるパッチ。nsd.confのdeny-anyステートメントは、UDPを介したANYクエリをさらにTCPにも移動するように設定します。また、タイプANYに対する追加セクションprocessigがないため、応答サイズが減少します。

 - #4215 の修正:IgorからのパッチによるTSIGキーの動的変更により、nsd-control print_tsig、update_tsig、add_tsig、assoc_tsig、del_tsigが追加されます。これらの変更はリロード後に消失します。構成ファイル(またはそこに含まれるファイル)を編集して、再起動後に持続する変更を行います。

 - バグ修正:

Upstreamリリース4.1.26に更新してください:

 - 機能:

 - NSDのDNSTAPサポート、--enable-dnstap、次にnsd.confのconfig。

 - reuseportで、FreeBSD 12のSO_REUSEPORT_LBをサポートします:nsd.confのyesオプション。

 - nsd-control changezoneを追加しました。 nsd-control changezone名のパターンにより、ゾーンのダウンタイムが発生することなく、1回の操作でゾーンパターンオプションを変更できます。

 - バグ修正:

 - #4194 の修正:ゾーンファイルパーサーが、DNSSEC RRのRHSの非FQDN名によって脱線しました。

 - #4202 の修正:エラー時のnsd-control delzoneの不適切な終了コード。

 - nsd.confが以下を含むようにGLOB_NOSORTを設定しないように修正:
 ファイルが予測可能な順序で並べ替えられます。

 - #3433 の修正:reconfigがゾーンごとの統計を変更しないことを文書化します。

Upstreamリリース4.1.25に更新してください:

 - 機能:

 - nsd-controlは、ファイルの失敗に対してより適切なエラーを出力します。

 - バグ修正:

 - ゾーンのRRが削除される前にnsec3プリコンパイルの削除が発生する問題を修正します。

 - unixソケット用に受け入れられているリモートコントロール接続のプリントアウトを修正します。

 - remote.cのuse_systemd typo/leftoverを修正します。

 - Sharp Liu氏からのパッチにおける、nsd-checkconf.cのコーディングスタイルを修正します。

 - append_trailing_slashには1つの実装があり、同じように繰り返されます。

 - nsd.cのコーディングスタイルを修正します

 - Xiaobo Liu氏からの、同一のエラー関数を1つに結合する修正。

 - remote.cの初期化を修正します。

 - アナライザーをclangし、不良なゲートウェイを持つIPSECKEYの解析を修正してください。

 - 不適切なゾーン名でnsd-checkconfが失敗する問題を修正。

 - noreturnを使用する終了関数に注釈を付けます。

 - サーバーサービスの起動中に未使用のif節を削除します。

 - #4156 の修正:systemdサービスマネージャーの状態変更通知を修正します。これをコンパイルすると、systemdの準備状態信号が有効になります。nsd.confのオプションが使用されていません。読み取りの際に無視されます。

Upstreamリリース4.1.24に更新してください:

 - 機能

 - #4102:ローカルソケット経由のコントロールインターフェイス

 - これにより、configure --enable-systemd(pkg-configとlibsystemdが必要)をuse-systemdに使用できます:nsd.confでyesであり、systemdで準備状態が示されます。

 - レコードタイプSMIMEAに対するRFC8162サポート。

 - バグ修正

 - configureでMac OSビルドdarwin検出のopenwrtを修正するパッチ。

 - 最初のコントロールインターフェイスでTLSが使用されるかどうかを判断する問題を修正します。IPアドレスインターフェイスがTLSなしで使用される際に警告します。

 - #4106:nsd-controlから出力された統計が、符号なしlongから符号なし(remote.c)に再キャストされる問題を修正します。

 - ゾーンファイルのタイプCAA(およびURI)が、引用符で囲まれていないときにドットを含む可能性がある問題を修正します。

 - #4133:IXFRに破損したNSEC3PARAMチェーンのあるゾーンが含まれる場合に、NSDが動作しているNSEC3PARAMの検索を緩やかに試行する問題を修正します。

Upstreamリリース4.1.23に更新してください:

 - NSDの時間に影響を受けやすいTSIG比較の脆弱性を修正します。

Upstreamリリース4.1.22に更新してください:

 - 機能:

 - refuse-anyは、UDPを介したANYクエリへの応答で切り捨て(+TC)を送信し、通常のようにTCPクエリを許可します。

 - accept4を使用して、TCPクエリの回答を高速化します

 - バグ修正:

 - 親と子が共同でホストするnsec3有効ゾーンのnsec3ハッシュを修正します。

 - nsec3ハッシュの割り当てと解放で同じ条件を使用するように修正します。

 - バージョン4.1.21での変更:

 - 機能:

 - --enable-memcleanは、メモリチェッカーで使用するためにメモリをクリーンアップします(valgrindなど)。

 - ANYタイプのクエリを拒否するrefuse-any nsd.confオプション。

 - tcp接続のメモリ使用率が低くなるため、tcp-countが高くなる可能性があります。

 - バグ修正:

 - xfr-inspectのスペルエラーを修正します。

 - ファイル名の長さに関するコンパイラーからのバッファサイズの警告を修正します。

ソリューション

影響を受けるnsdパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1157331

https://bugzilla.opensuse.org/show_bug.cgi?id=1179191

https://nlnetlabs.nl/people/

プラグインの詳細

深刻度: Critical

ID: 144120

ファイル名: openSUSE-2020-2222.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/12/14

更新日: 2024/2/2

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-13207

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:nsd, p-cpe:/a:novell:opensuse:nsd-debuginfo, p-cpe:/a:novell:opensuse:nsd-debugsource, cpe:/o:novell:opensuse:15.1, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/12/10

脆弱性公開日: 2019/7/3

参照情報

CVE: CVE-2019-13207, CVE-2020-28935