CentOS 7:unbound(CESA-2015:2455)

medium Nessus プラグイン ID 87159

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題と複数のバグを修正する更新済み unbound パッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

unbound パッケージは、DNS または DNSSEC リゾルバーの検証、再帰、およびキャッシュを提供します。

unbound にサービス拒否の欠陥が見つかり、攻撃者がこれを利用して unbound リゾルバー騙して委譲の無限ループを追跡させ、過剰なリソースを消費させる可能性があります。
(CVE-2014-8602)

この更新は以下のバグも修正します:

* この更新の前は、unbound アンカーを呼び出してルートゾーンキーを更新させる cron ジョブの時間構成に誤りがありました。
その結果、unbound アンカーは毎日ではなく月に 1 回呼び出され、 RFC 5011 に準拠していませんでした。cron ジョブが、毎日呼び出される systemd タイマーユニットに置き換えられました。現在、ルートゾーンキーの有効性は毎日 24 時間ウィンドウ内のランダムな時間でチェックされ、確実に RFC 5011 に準拠するようになりました。(BZ#1180267)

* 以前、unbound パッケージは systemd-tmpfiles ユーティリティ用の構成ファイルを、/etc/tmpfiles.d/ ディレクトリにインストールしていました。その結果、/etc/tmpfiles.d/ の管理者によって unbound に対して行われた変更は、パッケージの再インストールや更新時に上書きされる可能性があります。このバグを修正するために、 unbound は構成ファイルを /usr/lib/tmpfiles.d/ ディレクトリにインストールするように修正されました。その結果、あらゆる変更を含む、/etc/tmpfiles.d/ におけるシステム管理者による構成は、パッケージの再インストールや更新時に保存されるようになりました。(BZ#1180995)

* unbound サーバーのデフォルト構成には、DNSSEC Look-aside Validation (DLV)レジストリを使用する DNS レコードの検証が含まれていました。インターネットシステムコンソーシアム(ISC)は、DLV レジストリサービスを必要ないものとして廃止しようとし、unbound が不必要な手順を実行する可能性があります。このため、unbound サーバーのデフォルト構成から DLV レジストリの使用が削除されました。現在、unbound は DLV レジストリを使用する DNS レコード検証を試行しません。(BZ#1223339)

unbound の全ユーザーは、これらの更新パッケージにアップグレードすることが推奨されます。これには、これらの問題を修正するバックポートされたパッチが含まれます。

ソリューション

影響を受ける unbound パッケージを更新してください。

参考資料

http://www.nessus.org/u?76afee6c

プラグインの詳細

深刻度: Medium

ID: 87159

ファイル名: centos_RHSA-2015-2455.nasl

バージョン: 2.7

タイプ: local

エージェント: unix

公開日: 2015/12/2

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2014-8602

脆弱性情報

CPE: p-cpe:/a:centos:centos:unbound, p-cpe:/a:centos:centos:unbound-devel, p-cpe:/a:centos:centos:unbound-libs, p-cpe:/a:centos:centos:unbound-python, cpe:/o:centos:centos:7

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/11/30

脆弱性公開日: 2014/12/11

参照情報

CVE: CVE-2014-8602

RHSA: 2015:2455