公告ID(KYSA-202211-1035)
公告ID:KYSA-202211-1035
公告摘要:dhcp安全漏洞
等級:Important
發布日期:2022-11-15
詳細介紹
1.修復的CVE
·CVE-2021-25214
描述:ISC BIND是美國ISC公司的一套實現了DNS協議的開源軟件。ISC BIND 存在安全漏洞,該漏洞導致接收已命名服務器無意中從區域數據庫中刪除有問題的區域的SOA記錄。
·CVE-2021-25215
描述:bind中發現了一個缺陷。DNAME記錄的處理方式可能會觸發將同一RRset添加到應答部分多次,從而導致斷言檢查失敗。此漏洞的最大威脅是系統可用性。
·CVE-2021-25219
描述:ISC BIND是美國ISC公司實現了DNS協議的一套開源軟件。BIND 中存在資源管理錯誤漏洞,該漏洞源于產品授權服務器的處理錯誤。攻擊者可通過該漏洞令BIND解析器性能下降進而導致查詢處理延遲。
·CVE-2021-25220
描述:ISC BIND是美國ISC公司的一套實現了DNS協議的開源軟件。ISC BIND 存在安全漏洞,該漏洞源于已經收緊了接受記錄到緩存中的規則,以防止如果轉發器在配置的范圍之外發送記錄可能會中毒。
·CVE-2022-2928
描述:ISC DHCP是美國ISC公司的一套開源的動態主機配置協議服務器軟件。ISC DHCP 4.4.0至4.4.3版本、4.1-ESV-R1至4.1-ESV-R16-P1版本存在安全漏洞,該漏洞源于當從add_option()調用函數option_code_hash_lookup()時,它會增加選項的refcount字段,但是沒有對option_dereference()的相應調用來減少refcount字段,函數add_option()僅用于服務器對租約查詢數據包的響應,每個租約查詢響應都會為多個選項調用此函數,因此最終,引用計數器可能會溢出并導致服務器中止。
·CVE-2022-2929
描述:ISC DHCP是美國ISC公司的一套開源的動態主機配置協議服務器軟件。ISC DHCP 1.0至4.4.3版本、4.1-ESV-R1至4.1-ESV-R16-P1版本存在安全漏洞,該漏洞源于可以訪問DHCP服務器的系統,發送經過精心設計的包含超過63個字節fqdn標簽的DHCP數據包,最終可能導致服務器內存不足。
2.受影響的軟件包
·銀河麒麟高級服務器操作系統 V10 SP1
·aarch64架構:
dhcp、dhcp-devel、dhcp-help
·mips64el架構:
dhcp、dhcp-devel、dhcp-help
·x86_64架構:
dhcp、dhcp-devel、dhcp-help
·銀河麒麟高級服務器操作系統 V10 SP2
·aarch64架構:
dhcp、dhcp-devel、dhcp-help
·x86_64架構:
dhcp、dhcp-devel、dhcp-help
·銀河麒麟高級服務器操作系統 V10 SP3
·aarch64架構:
dhcp、dhcp-devel、dhcp-help
·銀河麒麟高級服務器操作系統(Host版)V10
·aarch64架構:
dhcp、dhcp-devel、dhcp-help
·x86_64架構:
dhcp、dhcp-devel、dhcp-help
3.軟件包修復版本
·銀河麒麟高級服務器操作系統 V10 SP1 (aarch64、mips64el、x86_64)
dhcp-4.4.2-9.ky10或以上版本
dhcp-devel-4.4.2-9.ky10或以上版本
dhcp-help-4.4.2-9.ky10或以上版本
·銀河麒麟高級服務器操作系統 V10 SP2 (aarch64、x86_64)
dhcp-4.4.2-9.ky10或以上版本
dhcp-devel-4.4.2-9.ky10或以上版本
dhcp-help-4.4.2-9.ky10或以上版本
·銀河麒麟高級服務器操作系統 V10 SP3 (aarch64)
dhcp-4.4.2-9.ky10或以上版本
dhcp-devel-4.4.2-9.ky10或以上版本
dhcp-help-4.4.2-9.ky10或以上版本
·銀河麒麟高級服務器操作系統(Host版)V10 (aarch64、x86_64)
dhcp-4.4.2-9.ky10或以上版本
dhcp-devel-4.4.2-9.ky10或以上版本
dhcp-help-4.4.2-9.ky10或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:
銀河麒麟高級服務器操作系統 V10 SP1
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/
mips64el:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/
銀河麒麟高級服務器操作系統 V10 SP2
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
銀河麒麟高級服務器操作系統 V10 SP3
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/
銀河麒麟高級服務器操作系統(Host版)V10
aarch64:https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/x86_64/
2.配置完成后執行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務或操作系統:
CVE-2021-25214:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2021-25215:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2021-25219:需要重啟 dhcp 以使漏洞修復生效。
CVE-2021-25220:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-2928:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-2929:無需重啟操作系統與服務即可使漏洞修復生效。
5.軟件包下載地址
·銀河麒麟高級服務器操作系統 V10 SP1
dhcp(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/dhcp-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/dhcp-devel-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
dhcp(mips64el)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/dhcp-4.4.2-9.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/dhcp-devel-4.4.2-9.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
dhcp(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/dhcp-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/dhcp-devel-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
·銀河麒麟高級服務器操作系統 V10 SP2
dhcp(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/dhcp-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/dhcp-devel-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
dhcp(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/dhcp-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/dhcp-devel-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
·銀河麒麟高級服務器操作系統 V10 SP3
dhcp(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/Packages/dhcp-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/Packages/dhcp-devel-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
·銀河麒麟高級服務器操作系統(Host版)V10
dhcp(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/aarch64/Packages/dhcp-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/aarch64/Packages/dhcp-devel-4.4.2-9.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/aarch64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
dhcp(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/x86_64/Packages/dhcp-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/x86_64/Packages/dhcp-devel-4.4.2-9.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HOST/SP3/os/adv/lic/updates/x86_64/Packages/dhcp-help-4.4.2-9.ky10.noarch.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令,查看相關軟件包版本是否與修復版本一致,如果版本一致,則說明修復成功。
sudo rpm -qa | grep Packagename