概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:2636-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
リリース 9.18.28 への更新
セキュリティ修正:
- CVE-2024-0760: TCP 上の DNS メッセージのフラッドによってサーバーが不安定になる問題を修正 (bsc#1228255)
- CVE-2024-1737: 非常に多数の RR が同じ名前に存在する場合に BIND のデータベースが遅くなる問題を修正 (bsc#1228256)
- CVE-2024-1975: SIG(0) を使用して CPU リソースを枯渇させる可能性がある問題を修正 (bsc#1228257)
- CVE-2024-4076: 古いキャッシュデータと権限のあるゾーンコンテンツの両方を提供するときのアサーションエラーを修正 (bsc#1228258)
変更ログ:
* IPv4-only (named -4) および IPv6-only (named -6) モードのコマンドラインオプションが、zone primaries、ally-notify、parental-agents で尊重されるようになりました。
* add-soa が使用される場合、RPZ 応答が SOA レコードの TTL が、SOA TTL ではなく 1 に設定されました。これは修正されました。
* ゾーンメンテナンス (NOTIFY、SOA) に関連するクエリがビューのシャットダウン (rndc のリロードなどによってトリガーされる) に近いタイミングでタイムアウトすると、named がアサーション失敗でクラッシュする可能性がありました。これは修正されました。
* 現在接続されている TCP IPv4/IPv6 クライアントの数を示す統計チャネルカウンターが、特定のエラーシナリオで適切に調整されていませんでした。これは修正されました。
* EHOSTDOWN または ENETDOWN 状態のために到達できない一部のサーバーは、サーバー選択中に不適切に優先されました。これらは、到達不能として適切に処理されるようになりました。
* 一部のシステムでは、接続の TCP リセットを送信するときに、libuv 呼び出しがエラーコードを返し、named でアサーションエラーが発生する可能性があります。このエラー状態は、インシデントをログに記録し、接続をシャットダウンすることで、より丁寧に処理されるようになりました。
* listen-on ステートメントに対する変更は、ポートまたはインターフェイスアドレスが変更されない限り、再構成時に無視され、関連するリスナートランスポートタイプを変更できなくなりました。この問題は修正されました。
* keymgr コードのバグにより、一部の DNSSEC キーロールオーバーが意図せず遅くなりました。これは修正されました。
* 一部の ISO 8601 デュレーションが誤って受け入れられ、想定よりもデュレーションが短くなりました。これは修正されました
* キャッシュクリーニングコードの回帰により、設定された最大キャッシュサイズ制限に達するまで、メモリ使用量が以前よりも大幅に速く増加しました。これは修正されました。
* rndc フラッシュを使用することで、不注意でキャッシュクリーニングの効果が低下していました。これは、最終的に設定された最大キャッシュサイズ制限の超過につながる可能性がありましたが、現在は修正されています。
* 期限切れのキャッシュされた DNS レコードをクリーンアップするロジックが、より積極的になるように調整されました。この変更により、max-cache-ttl と max-ncache-ttl をタイムリーに強制できるようになります。
* overmem キャッシュクリーニングが開始されると、メモリ解放後使用 (Use-After-Free) アサーションを発生させることが可能でした。これは修正されました。
新しい機能:
* 新しいオプション signatures-jitter が dnssec-policy に追加され、署名の有効期限を一定期間に分散できるようになりました。
* 統計チャネルに、現在接続されている TCP IPv4/IPv6 クライアントの数を示すカウンターが追加されました。
* RESOLVER.ARPA をビルトインエンプティゾーンに追加しました。
機能の変更:
* 現在の時刻が署名の開始日と有効期限外であるために有効でない DNSSEC 署名は、即座に検証エラーを引き起こすのではなく、スキップされます。
セキュリティ修正:
* TCP で多数のクエリを送信したが応答を読み取らない悪意のある DNS クライアントは、他のクライアントに対してサーバーの応答が遅くなったり、まったく応答しなくなったりする可能性がありました。これは修正されました。
(CVE-2024-0760)
* 過度に大きなリソースレコードセットを作成することが可能です。これにより、データベース処理が遅くなる可能性があります。これは、キャッシュまたはゾーンデータベースの名前およびタイプごとに保存できるレコード数に構成可能な制限を追加することで対処されました。デフォルトは 100 ですが、新しい max-records-per-type オプションで調整できます。
* 与えられたオーナー名に対して、過剰な数のリソースレコードタイプを作成することが可能です。これにより、データベース処理が遅くなる可能性があります。これは、キャッシュまたはゾーンデータベースの名前およびタイプごとに保存できるレコード数に構成可能な制限を追加することで対処されました。デフォルトは 100 ですが、新しい max-types-per-name オプションで調整できます。(CVE-2024-1737)
* SIG(0) プロトコル (RFC 2931) を使用して署名された DNS メッセージを検証すると、過剰な CPU 負荷が発生し、サービス拒否状態になる可能性があります。SIG(0) メッセージ検証のサポートは、named のこのバージョンから削除されました。
(CVE-2024-1975)
* 論理エラーのため、ローカルの権威ゾーンデータの古いデータおよび必要な検索の提供をトリガーする検索が、アサーション失敗につながる可能性がありました。これは修正されました。
* DoH 実装で潜在的なデータ競合が見つかりました。これは、再構成後の HTTP/2 セッションオブジェクト管理およびエンドポイントセットオブジェクト管理に関連しています。これらの問題は修正されました。
* DS レコードの検索の一部として親ゾーンの NS レコードを検索するとき、serve-stale が有効になっている場合、named がアサーションエラーをトリガーする可能性がありました。これは修正されました。(CVE-2024-4076)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける bind、bind-doc、bind-utils パッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2024-2636-1.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:bind, p-cpe:/a:novell:suse_linux:bind-doc, p-cpe:/a:novell:suse_linux:bind-utils
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available