検出

Oracle Linux 5:bind97(ELSA-2014-1244)

low Nessus プラグイン ID 77737

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:1244 から:

1 つのセキュリティの問題と 1 つのバグを修正する更新済みの bind97 パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Berkeley Internet Name Domain(BIND)は、ドメインネームシステム(DNS)プロトコルの実装です。これには、DNSサーバー(named)、 DNS とのインターフェイスがある場合に使用されるアプリケーションのルーチン付きリゾルバーライブラリ、DNS サーバーが適切に作動しているかを確認するためのツールが含まれています。これらのパッケージには、BIND パッケージのバージョン 9.7 が含まれています。

BIND が NSEC3-signed ゾーンを処理する方法に、サービス拒否の欠陥が見つかりました。リモートの攻撃者がこの欠陥を利用して、NCES3-signed ゾーンを提供する権威ネームサーバーに対して、特別に細工されたクエリを送信する可能性があり、これが処理されると named がクラッシュします。(CVE-2014-0591)

注:Red Hat Enterprise Linux 5 に付属の bind97 のバージョンに、CVE-2014-0591 の問題は直接影響を与えません。ただし、bind97 の今後のビルド(別のコンパイラまたは C ライブラリを最適して構築することを予定)でこの問題が発生しないよう、引き続き対応を行っています。

この更新では以下のバグも修正されます。

* 以前は、bind97 initscript は、named デーモンがシャットダウンされるとき、ROOTDIR 変数が存在するかどうかをチェックしていませんでした。その結果、 chroot 環境で bind97 を使用しているときにマウントされたファイルシステムの一部が、デーモンのシャットダウン時にアンマウントされませんでした。これは、chroot 環境で bind97 が実行されていない場合も同様でした。この更新では、 named デーモンのシャットダウンでファイルシステムの一部がアンマウントされたときに、ROOTDIR 変数が存在するかどうかをチェックするように initscript に修正が加えられています。現在では、chroot 環境で実行されていない bind97 をシャットダウンする場合に、ファイルシステムのどの部分もアンマウントされなくなっています。(BZ#1059118)

bind97 の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。更新のインストール後、BIND デーモン(named)が自動的に再起動します。

ソリューション

影響を受ける bind97 パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2014-September/004454.html

プラグインの詳細

深刻度: Low

ID: 77737

ファイル名: oraclelinux_ELSA-2014-1244.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2014/9/18

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 2.6

現状値: 1.9

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:oracle:linux:bind97, p-cpe:/a:oracle:linux:bind97-chroot, p-cpe:/a:oracle:linux:bind97-devel, p-cpe:/a:oracle:linux:bind97-libs, p-cpe:/a:oracle:linux:bind97-utils, cpe:/o:oracle:linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/9/17

脆弱性公開日: 2014/1/13

参照情報

CVE: CVE-2014-0591

BID: 58736, 61479, 64801

RHSA: 2014:1244