openSUSE 安全更新:bind (openSUSE-SU-2013:0605-1)
high Nessus 插件 ID 74953
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
bind 已更新到 9.8.4-P2,修复了安全问题和缺陷。安全补丁删除了配置中对 regex.h 的检查,以便禁用 regex 语法检查,因为其使 BIND 暴露于某些平台上的 libregex 中的危急缺陷。[CVE-2013-2266] [RT #32688] https://kb.isc.org/article/AA-00871 (bnc#811876) 防止 named 由于启用 DNS64 的服务器上的 require 断言失败而中止。可能会因收到的特定查询导致发生上述崩溃。(请注意,此补丁是一系列更新的子集,并将完整包含在 BIND 9.8.5 和 9.9.3 中作为更改 #3388,RT #30996)。[CVE-2012-5688] [RT #30792] 故意构造的记录组合可造成填充响应的附加部分时 named 挂起[CVE-2012-5166] [RT #31090] 防止查询 RDATA 超出 65535 字节的记录时的 named 断言(崩溃)[CVE-2012-4244] [RT #30416] 防止由在“错误缓存”数据被初始化之前使用该数据造成的验证时的 named 断言(崩溃)。[CVE-2012-3817] [RT #30025] 已修正一个条件,其中对零长度 RDATA 的不正确处理可造成不良行为,包括 named 进程终止。[CVE-2012-1667] [RT #29644] 根据 RFC 6605,DNSSEC 中的新功能“椭圆曲线数字签名算法”密钥和签名现已受支持。[RT #21918] 功能更改改进了 OpenSSL 错误记录 [RT #29932] 现在当 nslookup 无法获得答案时它将返回一个非零退出代码。[RT #29492] 缺陷补丁使用二进制模式打开 Windows 上的原始文件。[RT #30944] Static-stub 存根区域现接受“forward”和“fowarders”选项(通常需要用于引用以替代全局转发选项的区域的子域)。这些选项已可用于传统存根区域,其在类型“static-stub”区域的遗漏为无意间的疏忽。[RT #30482] 当缓存中已签名 RRset 的 RRSIG 临近到期时,限制其 TTL。这可阻止无效 RRSIG 的缓存中的存续,以便帮助其从区域重新签名无法及时发生的情况下恢复。通过此更改,当原始 RRSIG 过期时,named 将尝试从授权服务器获取新 RRSIG,即使在其他情况下,旧记录的 TTL 可使其在缓存中保留更长时间。[RT #26429] 修正 isc_atomic_xadd() 和 isc_atomic_cmpxchg() 的语法,此这两个函数在 Itanium 系统上的用途是通过利用原子操作加快锁定管理。如果没有此语法修正,可能意外发生对相同结构的并发访问并导致不可预测的结果。
[RT #25181] 配置脚本现在正确支持并检测 libxml2-2.8.x [RT #30440] 处理所用的含 -w(永远等待)选项的时间值时,主机命令应在某些架构和版本上不再断言。[RT #18723] 现将在 named.conf 的解析期间检测 max-retry-time、min-retry-time、max-refresh-time、min-refresh-time 的无效零设置,并发出一个错误,而不是触发启动时的断言失败。[RT #27730] 从 zone.c 的日志消息中删除虚假换行符 [RT #30675] 使用 readline 支持构建时(例如在已安装 readline 的系统上),nsupdate 不再在交互模式下意外终止。[RT #29550] 所有执行任务独占操作的 named 任务现在共享同一个任务。在此变更之前,可能在 rndc 操作和其他函数之间(例如调整 adb 哈希表的大小)存在争用条件。如果遇到争用条件,在大多数情况下,named 将因断言而意外终止。[RT #29872] 确保达到超时限制时,服务器从 ADB 缓存过期,从而可刷新其已知属性。在此更改之前,被频繁查询的服务器可能从未对其条目进行删除和重新初始化。这对 DNSSEC 验证的递归服务器(可能错误地为一段时间的间歇性连接之后的授权服务器设置了“no-edns”)尤其重要。[RT #29856] 防止在存在匹配覆盖类型并证实不存在性的更高信任级别的伪记录时将 RRSIG 数据添加到缓存,从而为以前的安全变更 (3218) 添加额外的恢复能力。早期变更防止响应于客户端查询从缓存检索此不一致的数据 - 凭借此额外的更改,将完全不会再将 RRSIG 记录插入到缓存。[RT #26809] 现在当在新私钥文件中写入将导致现有文件的权限更改时,dnssec-settime 将发出警告。[RT #27724] 修复由变更 #3314 引入的缺陷,此缺陷可在将存根区域保存到磁盘时导致失败(在某些情况下导致 CPU 过量使用)。[RT #29952] 现在可再次使用多个控制密钥 - 此功能无意间被解决了一个内存泄漏的变更 #3924 (RT #28265) 破坏。[RT #29694] 设置过低的 resolver-query-timeout 可造成 named 问题在连接丢失后再次发生。[RT #29623] 通过重用缓存的 DS 和 RRSIG rrset(如果可能)减少过时 RRset 在繁忙的递归名称服务器缓存中的可能累积 [RT #29446] 修正了某些情况下在已配置 RPZ 时认证资源记录的不存在性的缺陷。此外:
- 将可选的“recursive-only yes|no”添加到 response-policy 语句
- 将可选的“max-policy-ttl”添加到 response-policy 语句以限制“recursive-only no”可引入解析器缓存的假数据
- 通过添加要用作 CNAME 策略记录的目标的“rpz-passthru”来引入 PASSTHRU 策略的预定义编码(仍接受旧编码)。
- 当 queryperf 可用时,将 RPZ 性能测试添加到 bin/tests/system/rpz。[RT #26172] 现可对 RRSIG 签名人姓名的大写/小写进行一致处理:生成的 RRSIG 记录包含小写的签名人姓名。大小写均可接受,但如果验证失败,我们将用小写来重试。[RT #27451]
- 更新 D 根名称服务器的 IPv4 地址。
解决方案
更新受影响的 bind 程序包。另见
https://bugzilla.novell.com/show_bug.cgi?id=811876
https://kb.isc.org/docs/aa-00871
https://lists.opensuse.org/opensuse-updates/2013-04/msg00035.html
插件详情
严重性: High
ID: 74953
文件名: openSUSE-2013-296.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:bind, p-cpe:/a:novell:opensuse:bind-chrootenv, p-cpe:/a:novell:opensuse:bind-debuginfo, p-cpe:/a:novell:opensuse:bind-debugsource, p-cpe:/a:novell:opensuse:bind-devel, p-cpe:/a:novell:opensuse:bind-libs, p-cpe:/a:novell:opensuse:bind-libs-32bit, p-cpe:/a:novell:opensuse:bind-libs-debuginfo, p-cpe:/a:novell:opensuse:bind-libs-debuginfo-32bit, p-cpe:/a:novell:opensuse:bind-lwresd, p-cpe:/a:novell:opensuse:bind-lwresd-debuginfo, p-cpe:/a:novell:opensuse:bind-utils, p-cpe:/a:novell:opensuse:bind-utils-debuginfo, cpe:/o:novell:opensuse:12.1
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2013/3/27
参考资料信息
CVE: CVE-2012-1667, CVE-2012-3817, CVE-2012-3868, CVE-2012-4244, CVE-2012-5166, CVE-2012-5688, CVE-2013-2266