OracleVM 3.3:bind (OVMSA-2014-0084)

high Nessus 插件 ID 80247

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:

- 修复 CVE-2014-8500 (#1171973)

- 在生成 rndc.key 文件时使用 /dev/urandom (#951255)

- 从 /usr/share/doc 中删除虚假的文件,由针对缺陷 #1092035 的补丁引入

- 添加 TLSA 资源记录支持 (#956685)

- 增加默认的 lwresd 工作线程,并使工作线程和客户端对象数量可配置 (#1092035)

- 修复使用 -r 选项时 nsupdate 中的分段错误 (#1064045)

- 修复发送 UDP 查询时主机工具的发送缓冲区中的争用条件 (#1008827)

- 允许在 allow-notify 配置语句中使用 TSIG 进行认证 (#1044545)

- 修复 /var/named/chroot/etc/localtime 的 SELinux 上下文 (#902431)

- 包括更新后的 named.ca 文件以及根服务器地址 (#917356)

- 不在启动中存在 rndc.conf 时生成 rndc.key (#997743)

- 修复有关如何禁用 IDN 的 dig 手册页 (#1023045)

- 处理 ICMP 目标不可访问的(协议不可访问)响应 (#1066876)

- 通过 --with-dlopen=yes 配置 BIND 以支持动态可加载的 DLZ 驱动程序 (#846065)

- 修复 initscript 以在调用 checkconfig/configtest/check/test 时返回正确的退出值 (#848033)

- 不在对正在运行的服务器运行 initscript 命令 configtest 时装载/卸载 chroot 文件系统 (#851123)

- 修复 zone2sqlite 工具以接受包含 '.' 或 '-' 或者以数字开头的区域 (#919414)

- 修复 initscript 以取消挂载已运行的命名 chroot 文件系统 (#948743)

- 修复 initscript 以检查 PID-file 中的 PID 是否确实为正在运行的命名服务器的 PID (#980632)

- 修正安装的文档所有权 (#1051283)

- 通过 --enable-filter-aaaa 进行配置以启用 filter-aaaa-on-v4 选项的使用 (#1025008)

- 修复破坏解析器获取对象时的争用条件 (#993612)

- 修复 RRL 功能以包括 referrals-per-second 和 nodata-per-second 选项 (#1036700)

- 修复 SERVFAIL 至 NXDOMAIN 故障转移中的段错误 (#919545)

- 修复 (CVE-2014-0591)

- 修复 gssapictx 内存泄漏 (#911167)

- 修复了 (CVE-2013-4854)

- 修复了 (CVE-2013-2266)

- 在 -devel subpkg 中随附 dns/rrl.h

- 从 /usr/share/doc 中删除一个虚假的文件,由 RRL 修补程序引入

- 修复了 (CVE-2012-5689)

- 添加响应速度限制修补程序 (#873624)

解决方案

更新受影响的 bind-libs / bind-utils 程序包。

另见

http://www.nessus.org/u?9f3bc143

插件详情

严重性: High

ID: 80247

文件名: oraclevm_OVMSA-2014-0084.nasl

版本: 1.11

类型: local

发布时间: 2014/12/26

最近更新时间: 2021/1/4

风险信息

VPR

风险因素: Medium

分数: 5.1

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:bind-libs, p-cpe:/a:oracle:vm:bind-utils, cpe:/o:oracle:vm_server:3.3

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/12/24

漏洞发布日期: 2013/1/25

参考资料信息

CVE: CVE-2012-5689, CVE-2013-2266, CVE-2013-4854, CVE-2014-0591, CVE-2014-8500

BID: 57556, 58736, 61479, 64801, 71590