openSUSE セキュリティ更新:bind(openSUSE-SU-2013:0605-1)
high Nessus プラグイン ID 74953
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
bind は、セキュリティの問題とバグを修正するために 9.8.4-P2 に更新されました。セキュリティ修正により、一部のプラットフォームで BIND を libregex の重大な欠陥にさらす正規表現構文のチェックを無効にするために、構成の regex.h のチェックが削除されました。[CVE-2013-2266] [RT #32688] https://kb.isc.org/article/AA-00871(bnc#811876)DNS64 が有効のサーバーで、必須のアサーションの障害により、named が中止することを防ぎます。これらのクラッシュは、受信される特定のクエリの結果として発生する可能性があります。(注意:この修正は、BIND 9.8.5 と 9.9.3 に変更 #3388、RT #30996 として全体が含まれる一連の更新のサブセットです)。[CVE-2012-5688] [RT #30792] 意図的に構築されたレコードの組み合わせにより、応答の追加セクションを入力している間に named がハングする可能性があります。[CVE-2012-5166] [RT #31090] RDATA が 65535 バイトを超えるレコードのクエリ時に named がアサート(クラッシュ)することを防ぎます [CVE-2012-4244] [RT #30416] 検証時に named がアサート(クラッシュ)することを防ぎます。これは、初期化する前に「Bad cache」データを使用することによって引き起こされます。[CVE-2012-3817] [RT #30025] ゼロレングスの RDATA の不適切な処理が、named プロセスの終了など好ましくない挙動を引き起こす可能性があった状態が修正されました。[CVE-2012-1667] [RT #29644] DNSSEC の新機能である楕円曲線デジタル署名アルゴリズムの鍵と署名が RFC 6605 に準じてサポートされました。[RT #21918] 機能変更により OpenSSL のエラーログが改善されます [RT #29932] nslookup が、回答を取得することができないときに非ゼロの終了コードを返すようになりました。[RT #29492] バグ修正 バイナリモードを使用して Windows の RAW ファイルを開きます。[RT #30944] static-stub ゾーンが、「forward」および「fowarders」オプションを受け入れるようになりました(グローバル転送オプションをオーバーライドするための参照されたゾーンのサブドメインに対してしばしば必要)。これらのオプションは、既に従来のスタブゾーンで利用可能で、タイプ「static-stub」のゾーンからの省略は不注意による見落としでした。[RT #30482] RRSIG の有効期限が近付いているとき、キャッシュの署名済み RRset の TTL を制限します。これにより、ゾーンの再署名が良いタイミングで発生しない状況からの回復を促すために、無効な RRSIG のキャッシュが持続することが防がれます。この変更により、既存の RRSIG が失効したら、たとえ古いレコードの TTL により他の状況ではキャッシュにより長く留まらされたとしても、named は管理サーバーから新しい RRSIG の取得を試みます。[RT #26429] Itanium システムで、アトミックオペレーションを利用することでロック管理を高速化するために利用されている、isc_atomic_xadd() および isc_atomic_cmpxchg() の構文を修正します。この構文修正がないと、同一の構造への同時アクセスが、予測不能な結果とともに不意に発生する可能性があります。
[RT #25181] 構成スクリプトが libxml2-2.8.x をサポートし、正しく検出するようになりました [RT #30440] ホストコマンドは、-w(永久待機)オプションで使用された時間の値を処理している間に、一部のアーキテクチャおよびビルドでアサートしなくなったはずです。[RT #18723] max-retry-time、min-retry-time、max-refresh-time、min-refresh-time に対する無効なゼロ設定が、named.conf の解析中に検出され、起動時にアサーション障害を引き起こすのではなく、エラーが出力されるようになりました。[RT #27730] zone.c のログメッセージから偽造の改行を削除します [RT #30675] readline サポート(つまり、readline がインストールされたシステム)でビルドされたとき、nsupdate がインタラクティブモードで不意に終了しなくなりました。[RT #29550] タスク排他オペレーションを実行するすべての named タスクが、同じ単一のタスクを共有するようになりました。この変更の前、rndc オペレーションと、adb ハッシュテーブルのサイズ変更などの他の関数の間には競合状態の可能性がありました。競合状態に遭遇したら、named はほとんどの場合、アサートで不意に終了していました。[RT #29872] タイムアウト制限に達したとき、学習した属性がリフレッシュされるように、サーバーが ADB キャッシュから失効するようにします。この変更の前、クエリ頻度が高いサーバーは、エントリを削除し、初期化することがない可能性がありました。これは、断続的な接続性の期間に従って管理サーバーに対して誤って「no-edns」を設定する可能性がある DNSSEC 検証再帰サーバーにとって特に重要です。[RT #29856] カバリングタイプを一致させ、存在しないことを証明する偽レコードがより高い信頼レベルに存在するときに、RRSIG データがキャッシュに追加されることを防ぐことで、以前のセキュリティ変更(3218)からさらにレジリエンスを強化します。以前の変更では、クライアントのクエリに応答してこの矛盾するデータがキャッシュから取得されることを防ぎました。今回の追加的な変更では、RRSIG レコードはキャッシュにまったく挿入されなくなります。[RT #26809] 新しい秘密鍵ファイルの書き込みが既存のファイルの権限に変更を生じさせるときに、dnssec-settime が警告を発するようになりました。[RT #27724] 変更 #3314 によってもたらされた、スタブゾーンをディスクに保存したときに障害が発生していた(これにより、場合によっては過剰な CPU 使用率が発生した)不具合を修正します。[RT #29952] 複数のコントロールキーを使用することが再び可能になりました。この機能は、メモリ漏洩に対処した変更 #3924(RT #28265)で不注意で破損していました。[RT #29694] resolver-query-timeout をあまりにも低く設定すると、接続性を失った後の回復時に named に問題が発生する可能性があります。[RT #29623] 可能な場合はキャッシュされた DS および RRSIG rrset を再使用することで、ビジーな再帰ネームサーバーのキャッシュに古い RRset が蓄積する可能性を減らします [RT #29446] RPZ が構成されたとき、ある状況下では、リソースレコードが存在しないことを認証できない現象を修正します。また、
- オプションの「recursive-only yes|no」を response-policy 文に追加します
-「recursive-only no」がリゾルバーのキャッシュ内に導入する可能性がある誤りデータを制限するために、オプションの「max-policy-ttl」を response-policy 文に追加します
- CNAME ポリシーレコードのターゲットとして使用される「rpz-passthru」を追加することで、PASSTHRU ポリシーの事前定義されたエンコーディングを導入します(古いエンコーディングも変わらず受け入れられます)
- queryperf が利用可能なときに RPZ パフォーマンステストを bin/tests/system/rpz に追加します。[RT #26172] RRSIG 署名者名の大文字/小文字の処理の矛盾がなくなりました:RRSIG レコードは小文字の署名者名で生成されます。大文字でも小文字でも受け入れられますが、検証に失敗した場合は、小文字で再試行します。[RT #27451]
- D root ネームサーバーの IPv4 アドレスを更新します。
ソリューション
影響を受ける bind パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=811876
https://kb.isc.org/docs/aa-00871
https://lists.opensuse.org/opensuse-updates/2013-04/msg00035.html
プラグインの詳細
深刻度: High
ID: 74953
ファイル名: openSUSE-2013-296.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:bind, p-cpe:/a:novell:opensuse:bind-chrootenv, p-cpe:/a:novell:opensuse:bind-debuginfo, p-cpe:/a:novell:opensuse:bind-debugsource, p-cpe:/a:novell:opensuse:bind-devel, p-cpe:/a:novell:opensuse:bind-libs, p-cpe:/a:novell:opensuse:bind-libs-32bit, p-cpe:/a:novell:opensuse:bind-libs-debuginfo, p-cpe:/a:novell:opensuse:bind-libs-debuginfo-32bit, p-cpe:/a:novell:opensuse:bind-lwresd, p-cpe:/a:novell:opensuse:bind-lwresd-debuginfo, p-cpe:/a:novell:opensuse:bind-utils, p-cpe:/a:novell:opensuse:bind-utils-debuginfo, cpe:/o:novell:opensuse:12.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/3/27
参照情報
CVE: CVE-2012-1667, CVE-2012-3817, CVE-2012-3868, CVE-2012-4244, CVE-2012-5166, CVE-2012-5688, CVE-2013-2266