検出

SUSE SLED15 / SLES15 のセキュリティ更新 : bind (SUSE-SU-2025:01787-1)

high Nessus プラグイン ID 237601

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2025:01787-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 9.20.9 に更新してください。

 - 修正されたセキュリティ問題:

 * CVE-2025-40775無効な TSIG を持つ NS メッセージの処理によって引き起こされるアサーションエラーによるサービス拒否bsc#1243361。
 * CVE-2024-12705クエリの高負荷で発生する DNS-over-HTTPS の問題による、CPU およびメモリの枯渇bsc#1236597。
 * CVE-2024-11187追加データセクションで複数のレコードを含む応答につながるクエリを処理する際の CPU 枯渇bsc#1236596

 - 変更ログ:

 - 機能の変更:
 * 複雑なコード変更に関連するリスクを回避するために、BIND 9.20.2 で導入された NSEC3 検索のパフォーマンス最適化が元に戻されました。
 * 構成条項 parent-agents および primaries の名前が remote-servers に変更されます。
 * query-source および query-source-v6 にパラメーターなしを追加して、IPv4 または IPv6 の Upstream クエリを無効にしますが、IPv4 または IPv6 上のクライアントからのクエリのリッスンを許可します。
 * dnssec-ksr は現在 KSK ロールオーバーをサポートするようになりました。
 * RFC 7314転送サマリーでの EXPIRE オプションを出力します。
 * max-records-per-type の超過に対して役立つログメッセージを追加。
 * 鍵ファイルが利用可能になった場合には鍵管理を強化します。

 - 新機能
 * EDE 20 に対するサポートを追加します権限がありません。
 * EDE 7 および EDE 8 のサポートを追加します。
 * 「dig」は、ネゴシエーション中に受信した BADVERS メッセージを表示できるようになりました。
 * 「rndc」コマンドを追加して、いくつかの統計カウンターをリセットします。
 * min-transfer-rate-in 構成オプションを実装します。
 * HTTPS レコードクエリをホストコマンドラインツールに追加します。
 * sig0key-checks-limit および sig0message-checks-limit を実装します。
 * EDE コード 1 および 2 向けのサポートを追加します。
 * rndc コマンドを追加して、jemalloc プロファイリングをトグルします。
 * 複数の拡張 DNS エラーのサポートを追加します。
 * 古いレコードの有効期限を印刷します。
 * Extended DNS Error Code 22 の追加 - 到達可能な認証局がありません。
 * 新しいオプションを追加し、クライアントリクエストごとの送信クエリの最大数を構成します。
 * すべての発信 TLS 接続には、Server Name IndicationSNI 拡張を使用します。
 * ビルトイン bind.keys ファイルを新しい 2025 IANA root キーで更新します。
 * 2025 年 1 月に公開予定の新しい root キー ID 38696 用の bind.keys に initial-ds エントリを追加します。

 - バグ修正:
 * NSEC3 の直近含む検索の改善を復元します。
 * EDNS サポートの欠落したキャッシュを停止します。
 * タイムアウト応答用のリゾルバー統計カウンターを修正。
 * ネスト化された DNS 検証により、アサーション失敗が発生する可能性があります。
 * 「named-checkconf」でメモリ再利用が完了するまで待機します。
 * 「max-clients-per-query」が少なくとも「clients-per-query」であることを確認してください。
 * バリデーターコードへの書き込みを修正します。
 * DNSKEY で NOAUTH/NOCONF フラグを強制しません。
 * いくつかの軽微な DNSSEC タイミング問題を修正します。
 * 解決中の CNAME/DNAME 処理の不整合を修正します。
 * Dual-stack-servers 構成オプションを修正。
 * 永続的なアクティブクライアントの増加を引き起こすデータ競合を修正。
 * 署名されていない DS および DNSKEY レコードの延期された検証を修正します。
 * 再構成中の RPZ の競合状態を修正します。
 * 「CNAME およびその他のデータチェック」は、すべてのタイプに適用されません。
 * プライベート DNSKEY および RRSIG 制約を緩和します。
 * NSEC/DS/NSEC3 RRSIG チェックを dns_message_parse() から削除します。
 * RPZ「passthru」を通じて処理された ANY クエリの TTL 問題を修正します
 * dnssec-signzone は、オフライン設定時に NULL キーをチェックする必要があります。
 * ゾーン転送情報をクエリする際の統計チャネルのバグを修正。
 * 再帰クライアントをダンプする際のアサーションエラーを修正します。
 * dns_resolver_dumpfetches() からアクティブリゾルバーフェッチをダンプします。
 * 最近期限切れのレコードは、今後タイムスタンプ付きで返される可能性があります。
 * YAML 文字列が delv の負の応答で終了しません。
 * オフラインになっているキーに関連する dnssec-signzone のバグを修正します。
 * メモリ制限を ADB データベースアイテムのみに適用します。
 * ゾーン/キャッシュデータベースでの不必要なロッキングを回避します。
 * 拡張 DNS エラー 22到達可能な認証局がありませんのレポートを修正します。
 * 大規模な更新を処理する際の nsupdate のハングアップを修正。
 * 更新ポリシールールの処理中にサーバーをリロードする際の潜在的なアサーション失敗を修正します。
 * attach-cache を使用するときの再構成でキャッシュを保持します。
 * グルーキャッシュによるパフォーマンスの低下を解決。
 * 取り消されたキーで非 DNSKEY RRsets に署名する dnssec-signzone を修正します。
 * resolv.conf の未知のディレクティブの不適切な処理を修正します。
 * で応答ポリシーゾーンと カタログゾーンを修正します $INCLUDE 定義済みのステートメントです。
 * TLS が設定されている場合、通知に TLS を使用します。
 * TLS を使用するように構成された通知が、平文 UDP や TCP ではなく、TLS で送信されるようになりました。また、notify 用の TLS 構成のロードに失敗すると、エラーが発生します」が発生します。
 * {&dns} は SVCB の dohpath で {?dns} と同等に有効です。
 * dig は、「dohpath=/some/path?key=value{&dns}」などの、{&dns} を含む dohpath URI テンプレートで有効な SVCB レコードの解析に失敗していました。
 * 空白の非終端を持つ名前に対する NSEC3 の直近参照検索を修正します。
 * 承認的な応答を生成する際に NSEC3 の直近のエンクロージャを見つけるための以前のパフォーマンスの最適化により、サーバーが正しくない NSEC3 レコードを返す場合がありました。これは修正されました。
 * 値 0 の recursive-clients ステートメントは、アサーションの失敗を誘発しました。
 * BIND 9.20.0 recursive-clients 0 を破壊します 。これは現在修正されました。
 * rndc.conf のホスト名の解析が壊れていました。
 * DSCP サポートが削除された際、rndc.conf のホスト名の解析が意図せず破損し、アサーション失敗が発生しました。これは修正されました。
 * [+-]option=<value> 形式の「dig」オプションは、印刷されたコマンドラインに値を表示できませんでした。これは修正されました。
 * SSL_CTX_use_certificate_chain_file() と SSL_CTX_use_PrivateKey_file() のエラーを個別に記録することで、TLS 構成エラーをさらに可視化します。
 * アサーション失敗を引き起こす可能性のある ADB 検索をキャンセルする際の競合状態を修正します。
 * SERVFAIL キャッシュメモリクリーニングがより積極的になりました。サーバーが一度に多くの SERVFAIL に遭遇した場合、大量のメモリを消費することがなくなりました。
 * 前のプライマリ XoT サーバーが到達不能としてマークされたときの次のプライマリ XoT サーバーの試行を修正。
 * いくつかの事例で、前のサーバーが到達不能としてマークされたとき、named がプライマリリストの次のプライマリサーバーの試行に失敗することがありました。これは修正されました。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける bind、bind-doc、bind-utils パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1236596

https://bugzilla.suse.com/1236597

https://bugzilla.suse.com/1243361

http://www.nessus.org/u?b8089ef0

https://www.suse.com/security/cve/CVE-2024-11187

https://www.suse.com/security/cve/CVE-2024-12705

https://www.suse.com/security/cve/CVE-2025-40775

プラグインの詳細

深刻度: High

ID: 237601

ファイル名: suse_SU-2025-01787-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/5/31

更新日: 2025/5/31

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-40775

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:bind, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:bind-doc, p-cpe:/a:novell:suse_linux:bind-utils

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/5/30

脆弱性公開日: 2025/1/29

参照情報

CVE: CVE-2024-11187, CVE-2024-12705, CVE-2025-40775

IAVA: 2025-A-0071-S, 2025-A-0375

SuSE: SUSE-SU-2025:01787-1