CentOS 6:dnsmasq(CESA-2013:0277)
medium Nessus プラグイン ID 65133
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題と 1 つのバグを修正し、様々な拡張機能を追加する更新済みの dnsmasq パッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
dnsmasq パッケージには、Dnsmasq、軽量 DNS(Domain Name Server)フォワーダーおよび DHCP(Dynamic Host Configuration Protocol)サーバーが含まれています。
特定の libvirtd 構成と組み合わせて使用した場合、dnsmasq は、禁止対象のネットワークインターフェイスからのネットワークパケットを不適切に処理する可能性があります。認証されていないリモートの攻撃者はこの欠陥を悪用して、DNS アンプ攻撃によりサービス拒否を引き起こす可能性があります。(CVE-2012-3411)
この問題を完全に対処するために、libvirt パッケージユーザーは更新済みの libvirt パッケージをインストールすることが推奨されます。追加情報については、 RHSA-2013:0276 を参照してください。
この更新では以下のバグも修正されます。
* 回帰により、リース変更スクリプトが無効化されていました。
その結果、/etc/dnsmasq.com 構成ファイルの「dhcp-script」オプションが動作しませんでした。この更新ではこの問題が修正され、「dhcp-script」オプションが期待通りに動作するようになりました。(BZ#815819)
この更新により、次の拡張機能も追加されます:
* この更新以前、dnsmasq は、特定の tftp ディレクトリが実際に存在し、それがディレクトリであるかどうかを検証しませんでした。結果として、起動時に構成エラーが速やかに報告されませんでした。この更新では、tftp root ディレクトリオプションを検証するためにコードを改善しています。
結果として、特に dnsmasq が libvirt などの外部プロセスによって呼び出される場合に、障害発見が簡素化されます。(BZ#824214)
* dnsmasq init スクリプトは、「stop」、「restart」、「condrestart」コマンドで誤った Process Identifier(PID)を使用しました。結果として、 init スクリプトが起動するシステムを除いて、いくつかの dnsmasq インスタンスが実行されている場合、「stop」または「restart」で「service dnsmasq」の呼び出しが繰り返されると、init スクリプトが起動しないものを含めて、実行している全ての dnsmasq インスタンスが強制終了します。dnsmasq init スクリプトコードは、「stop」、「restart」、「condrestart」コマンドを呼び出す際に、適切な PID を取得するように修正されています。結果として、 init スクリプトが起動するシステムに加え、実行されている dnsmasq インスタンスが存在する場合、「stop」または「restart」で「service dnsmasq」を呼び出すことで、 1 つのシステムのみが停止または再起動します。
(BZ#850944)
* 1 つのインターフェイスで DHCP が有効な状態で、2 つ以上の dnsmasq プロセスが実行している場合、DHCP RELEASE パケットが失われることがありました。その結果、 1 つのインターフェイスで DHCP が有効な状態で、2 つ以上の dnsmasq プロセスが、実行している場合、IP アドレスのリリースに失敗することがありました。この更新では、 1 つのインターフェイスで DHCP を有効化した状態で dnsmasq を実行する場合は、DHCP ソケットで SO_BINDTODEVICE ソケットオプションが設定されます。その結果、1 つのインターフェイスで DHCP が有効な状態で、2 つ以上の dnsmasq プロセスが実行している場合、期待通りに IP アドレスがリリースされます。(BZ#887156)
dnsmasq のすべてのユーザーは、これらの問題を修正し、拡張機能を追加するこれらの更新済みパッケージにアップグレードすることが推奨されます。
ソリューション
影響を受ける dnsmasq パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 65133
ファイル名: centos_RHSA-2013-0277.nasl
バージョン: 1.11
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2013/3/10
更新日: 2021/1/4
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2012-3411
脆弱性情報
CPE: p-cpe:/a:centos:centos:dnsmasq, p-cpe:/a:centos:centos:dnsmasq-utils, cpe:/o:centos:centos:6
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/3/8
脆弱性公開日: 2013/3/5
参照情報
CVE: CVE-2012-3411
BID: 54353
RHSA: 2013:0277