公告ID(KYSA-202104-1211)
公告ID:KYSA-202104-1211
公告摘要:bind安全漏洞
等級:Important
發布日期:2021-04-08
詳細介紹
1.修復的CVE
·CVE-2016-2775
描述:當要求解析查詢名稱時,BIND中的輕量級解析程序協議實現可能會進入無限遞歸并崩潰,當與搜索列表條目結合使用時,該查詢名稱超過了最大允許長度。當在named.conf中使用“ lwres”語句時,遠程攻擊者可能會利用此缺陷使lwresd或named崩潰。
·CVE-2016-2776
描述:在BIND構造對滿足特定條件的查詢的響應的方式中發現了拒絕服務缺陷。遠程攻擊者可能會利用此缺陷,通過特制的DNS請求數據包,使聲明出口意外斷言失敗。
·CVE-2016-8864
描述:在BIND處理包含DNAME應答的響應時發現了拒絕服務缺陷。遠程攻擊者可利用此缺陷通過巧盡心思構建的DNS響應,使命名退出意外出現斷言失敗
·CVE-2016-9131
描述:在BIND處理對ANY查詢的響應時發現了拒絕服務缺陷。遠程攻擊者可利用此缺陷通過巧盡心思構建的DNS響應,使命名退出意外出現斷言失敗。
·CVE-2016-9147
描述:BIND處理包含不一致DNSSEC信息的查詢響應時發現了拒絕服務漏洞。遠程攻擊者可利用此缺陷通過巧盡心思構建的DNS響應,使命名退出意外出現斷言失敗。
·CVE-2016-9444
描述:在BIND處理異常格式的DS記錄響應的方式中發現了一個拒絕服務缺陷。遠程攻擊者可利用此缺陷通過巧盡心思構建的DNS響應,使命名退出意外出現斷言失敗。
·CVE-2017-3135
描述:當使用DNS64和RPZ時,在BIND處理查詢響應的方式中發現了一個拒絕服務缺陷。遠程攻擊者可以利用此缺陷,通過巧盡心思構建的DNS響應,通過斷言失敗或空指針取消引用,使命名退出意外發生。
·CVE-2017-3136
描述:在使用帶有“break dnssec yes”選項的DNS64時,在BIND處理查詢請求的方式中發現了一個拒絕服務缺陷。遠程攻擊者可以利用此缺陷通過巧盡心思構建的DNS請求,使命名退出意外出現斷言失敗。
·CVE-2017-3137
描述:在BIND以異常順序處理包含CNAME或DNAME資源記錄的查詢響應時,發現了一個拒絕服務漏洞。遠程攻擊者可利用此缺陷通過巧盡心思構建的DNS響應,使命名退出意外出現斷言失敗。
·CVE-2017-3142
描述:在BIND處理AXFR請求的TSIG身份驗證時發現了一個缺陷。能夠與權威綁定服務器通信的遠程攻擊者可以利用此漏洞通過發送特殊構造的請求包來查看區域的全部內容。
·CVE-2017-3143
描述:在BIND處理動態更新的TSIG身份驗證時發現了一個缺陷。能夠與權威綁定服務器通信的遠程攻擊者可以利用此漏洞通過為動態更新請求偽造有效的TSIG或SIG(0)簽名來操縱區域的內容。
·CVE-2017-3145
描述:在BIND內部處理上游遞歸獲取上下文上的清理操作時,發現了導致拒絕服務的釋放后使用缺陷。遠程攻擊者可能會利用此漏洞,通過巧盡心思構建的DNS請求,使named(充當DNSSEC驗證解析器)意外退出,并出現斷言失敗。
·CVE-2018-5740
描述:在包含“拒絕應答別名”功能的綁定版本中發現了一個拒絕服務漏洞。此漏洞可使遠程攻擊者觸發命名中的堅持斷言,從而導致進程終止和拒絕服務條件。
·CVE-2018-5741
描述:為了提供對使用動態DNS(DDNS)更新區域中記錄的能力的細粒度控制,bind9提供了一個名為updatepolicy的功能。可以配置各種規則來限制客戶端可以執行的更新類型,具體取決于發送更新請求時使用的密鑰。不幸的是,一些規則類型最初沒有被記錄,當它們的文檔被添加到change#3112的管理員參考手冊(ARM)中時,添加到ARM的語言錯誤地描述了兩種規則類型的行為,krb5子域和ms子域。這種不正確的文檔可能會誤導操作員,使他們相信他們配置的策略比實際的更嚴格。這會影響bind9.11.5和bind9.12.3之前的BIND版本。
·CVE-2018-5743
描述:在bind實現可調的方式中發現了一個缺陷,該缺陷限制了同時進行的TCP客戶端連接。遠程攻擊者可以利用此漏洞耗盡named可用的文件描述符池,從而可能影響網絡連接和日志文件或區域日志文件等文件的管理。在命名進程不受操作系統強制的每個進程限制的情況下,這還可能導致耗盡該系統上所有可用的可用文件描述符。
·CVE-2018-5745
描述:在bind實現“托管密鑰”功能時發現斷言失敗。攻擊者可以利用此漏洞導致命名守護程序崩潰。攻擊者很難觸發此漏洞,因為它要求操作員將BIND配置為使用攻擊者管理的信任錨。
·CVE-2019-6465
描述:發現區域傳輸的控制沒有正確應用于動態可加載區域(DLZ)。充當DNS客戶端的攻擊者可以利用此漏洞請求和接收DLZ的區域傳輸,即使“允許傳輸”ACL不允許這樣做。
·CVE-2019-6477
描述:在bind限制任何給定時間可以連接的TCP客戶端數量的方式中發現了一個缺陷。遠程攻擊者可以使用一個TCP客戶端通過單個連接發送大量的DNS請求,導致named可用的文件描述符池耗盡,并可能影響網絡連接和日志文件或區域日志文件等文件的管理。
2.受影響的軟件包
·中標麒麟高級服務器操作系統 V7
·aarch64架構:
bind、bind-chroot、bind-devel、bind-export-devel、bind-export-libs、bind-libs、bind-libs-lite、bind-license、bind-lite-devel、bind-pkcs11、bind-pkcs11-devel、bind-pkcs11-libs、bind-pkcs11-utils、bind-sdb、bind-sdb-chroot、bind-utils
·x86_64架構:
bind、bind-chroot、bind-devel、bind-export-devel、bind-export-libs、bind-libs、bind-libs-lite、bind-license、bind-lite-devel、bind-pkcs11、bind-pkcs11-devel、bind-pkcs11-libs、bind-pkcs11-utils、bind-sdb、bind-sdb-chroot、bind-utils
3.軟件包修復版本
·中標麒麟高級服務器操作系統 V7 (aarch64、x86_64)
bind-9.11.4-16.P2.el7或以上版本
bind-chroot-9.11.4-16.P2.el7或以上版本
bind-devel-9.11.4-16.P2.el7或以上版本
bind-export-devel-9.11.4-16.P2.el7或以上版本
bind-export-libs-9.11.4-16.P2.el7或以上版本
bind-libs-9.11.4-16.P2.el7或以上版本
bind-libs-lite-9.11.4-16.P2.el7或以上版本
bind-license-9.11.4-16.P2.el7或以上版本
bind-lite-devel-9.11.4-16.P2.el7或以上版本
bind-pkcs11-9.11.4-16.P2.el7或以上版本
bind-pkcs11-devel-9.11.4-16.P2.el7或以上版本
bind-pkcs11-libs-9.11.4-16.P2.el7或以上版本
bind-pkcs11-utils-9.11.4-16.P2.el7或以上版本
bind-sdb-9.11.4-16.P2.el7或以上版本
bind-sdb-chroot-9.11.4-16.P2.el7或以上版本
bind-utils-9.11.4-16.P2.el7或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:
中標麒麟高級服務器操作系統 V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/
2.配置完成后執行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務或操作系統:
CVE-2016-2775:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2016-2776:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2016-8864:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2016-9131:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2016-9147:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2016-9444:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3135:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3136:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3137:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3142:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3143:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2017-3145:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2018-5740:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2018-5741:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2018-5743:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2018-5745:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2019-6465:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2019-6477:無需重啟操作系統與服務即可使漏洞修復生效。
5.軟件包下載地址
·中標麒麟高級服務器操作系統 V7
bind(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-chroot-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-devel-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-export-devel-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-export-libs-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-libs-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-libs-lite-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-license-9.11.4-16.P2.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-lite-devel-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-pkcs11-utils-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-sdb-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-sdb-chroot-9.11.4-16.P2.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/bind-utils-9.11.4-16.P2.el7.aarch64.rpm
bind(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-chroot-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-devel-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-devel-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-devel-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-devel-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-libs-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-export-libs-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-lite-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-libs-lite-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-license-9.11.4-16.P2.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-lite-devel-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-lite-devel-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-devel-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-libs-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-pkcs11-utils-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-sdb-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-sdb-chroot-9.11.4-16.P2.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/bind-utils-9.11.4-16.P2.el7.x86_64.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令,查看相關軟件包版本是否與修復版本一致,如果版本一致,則說明修復成功。
sudo rpm -qa | grep Packagename