Fedora 40 : bind / bind-dyndb-ldap (2024-8af1780fdf)

high Nessus プラグイン ID 204983

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 40 ホストには、FEDORA-2024-8af1780fdf のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

# BIND 9.18.28 への更新

## セキュリティ修正

- TCP で多数のクエリを送信したが応答を読み取らない悪意のある DNS クライアントは、他のクライアントに対してサーバーの応答が遅くなったり、まったく応答しなくなったりする可能性がありました。これは修正されました。(CVE-2024-0760) [GL #4481]

- 過度に大きなリソースレコードセットを作成すると、データベース処理が遅くなる可能性があります。これは、キャッシュまたはゾーンデータベースの名前およびタイプごとに保存できるレコード数に構成可能な制限を追加することで対処されました。デフォルトは 100 ですが、新しい max-records-per-type オプションで調整できます。[GL #497] [GL #3405]

与えられたオーナー名に対して、過剰な数のリソースレコードタイプを作成することが可能です。これにより、データベース処理が遅くなる可能性があります。これは、キャッシュまたはゾーンデータベースの名前およびタイプごとに保存できるレコード数に構成可能な制限を追加することで対処されました。デフォルトは 100 ですが、新しい max-types-per-name オプションで調整できます。(CVE-2024-1737) [GL #3403]

ISC は、独立してこの問題を発見し、ISC に責任を持って報告してくれた Toshifumi Sakaguchi 氏に感謝の意を表します。[GL #4548]

- SIG(0) プロトコル (RFC 2931) を使用して署名された DNS メッセージを検証すると、過剰な CPU 負荷が発生し、サービス拒否状態になる可能性があります。SIG(0) メッセージ検証のサポートは、named のこのバージョンから削除されました。(CVE-2024-1975) [GL #4480]

- 論理エラーのため、ローカルの権威ゾーンデータの古いデータおよび必要な検索の提供をトリガーする検索が、アサーション失敗につながる可能性がありました。これは修正されました。(CVE-2024-4076) [GL #4507]

DoH 実装で潜在的なデータ競合が見つかりました。これは、再構成後の HTTP/2 セッションオブジェクト管理およびエンドポイントセットオブジェクト管理に関連しています。これらの問題は修正されました。[GL #4473]

ISC は、この問題を報告してくれた nic.lv の Dzintars 氏と Ivo 氏に感謝の意を表します。

- DS レコードの検索の一部として親ゾーンの NS レコードを検索するとき、serve-stale が有効になっている場合、named がアサーションエラーをトリガーする可能性がありました。これは修正されました。[GL #4661]

- 情報源: https://downloads.isc.org/isc/bind9/9.18.28/doc/arm/html/notes.html

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。