BLSA-2017:0014 – [中等] bind 安全警告及修复方法


  • BCLinux Developers

    BLSA-2017:0014 – [中等] bind 安全警告及修复方法

    问题描述

    BIND是一个应用非常广泛的DNS协议的实现,它是美国加州大学Berkeley分校开发和维护的一套DNS域名解析服务软件。但是 BIND 最近暴露一个拒绝服务漏洞(CVE-2017-3135),该漏洞影响了BIND 9.8.8,自9.9.3之后的所有9.9版本修复了该漏洞。在服务器使用特定配置的情况下,可被远程攻击者利用,从而发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    BIND简介
    Bind是一款开放源码的DNS服务器软件,用作域名解析,由美国加州大学Berkeley分校开发和维护的,全名为Berkeley Internet Name Domain它是目前世界上使用最为广泛的DNS服务器软件,支持各种unix平台和windows平台。在Linux平台下,Bind软件提供的bind-utils工具包,提供了一些DNS相关的工具。比如dig,host,nslookup,nsupdate等,使用这些工具可以进行域名解析和DNS调试工作。

    提示
    此次安全更新的软件包版本隶属于7.3发行版,鉴于当前BCLinux 7.3尚未发布,本次安全更新仅针对急需修复此安全漏洞的用户,其他用户可以等待BCLinux 7.3发布后,统一将系统升级至7.3版本。
    软件包在CR源中,需要启用CR源才能应用修复方案。CR源的目的是为了在下一个版本发布之前,提供短期的软件包更新过渡支持。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-3135 [中等]
      同时使用DNS64(配合NAT64实现IPv4-IPv6互访的关键部件,主要功能是合成AAAA记录和维护AAAA记录)和RPZ的某些配置时,可能导致INSIST断言失败(Assertion Failure)或读取NULL 指针。当同时使用DNS64和RPZ(Response Policy Zones:响应策略区)重写查询响应时,查询响应可能不一致,从而导致INSIST断言失败,或尝试NULL指针读取,从而导致进程终止。远程攻击者利用利用该漏洞,可以导致拒绝服务(DoS)。

    解决方案

    目前,BCLinux的官方源已经提供 bind 的更新软件包,受影响的BCLinux 7 用户可以升级到9.9.4-38.el7.2版本。

    1. 增加CR源,配置文件内容如下:
    [root@BCLinux ~]# cat /etc/yum.repos.d/BCLinux-CR.repo 
    [cr] 
    name=BCLinux-$releasever - CR
    baseurl=http://mirrors.bclinux.org/bclinux/el7/cr/$basearch/
    gpgcheck=0 
    enabled=0
    
    1. 检查YUM源设置,确保使用的是BCLinux官方YUM源
    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  6  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  119 Jan  6  2016 BCLinux-CR.repo
    -rw-r--r--. 1 root root  794 Jan  6  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  6  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  6  2016 BigCloud.repo
    

    3.安装更新

    [root@BCLinux ~]# yum --enablerepo=cr update bind
    Loaded plugins: fastestmirror
    cr                                                                                                                                              
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package bind.x86_64 32:9.9.4-29.el7_2.4 will be updated
    ---> Package bind.x86_64 32:9.9.4-38.el7.2 will be an update
    --> Processing Dependency: bind-libs = 32:9.9.4-38.el7.2 for package: 32:bind-9.9.4-38.el7.2.x86_64
    --> Processing Dependency: libGeoIP.so.1()(64bit) for package: 32:bind-9.9.4-38.el7.2.x86_64
    --> Running transaction check
    ---> Package GeoIP.x86_64 0:1.5.0-9.el7 will be installed
    ---> Package bind-libs.x86_64 32:9.9.4-29.el7_2.4 will be updated
    ---> Package bind-libs.x86_64 32:9.9.4-38.el7.2 will be an update
    --> Processing Dependency: bind-license = 32:9.9.4-38.el7.2 for package: 32:bind-libs-9.9.4-38.el7.2.x86_64
    --> Running transaction check
    ---> Package bind-license.noarch 32:9.9.4-29.el7_2.4 will be updated
    --> Processing Dependency: bind-license = 32:9.9.4-29.el7_2.4 for package: 32:bind-libs-lite-9.9.4-29.el7_2.4.x86_64
    ---> Package bind-license.noarch 32:9.9.4-38.el7.2 will be an update
    --> Running transaction check
    ---> Package bind-libs-lite.x86_64 32:9.9.4-29.el7_2.4 will be updated
    ---> Package bind-libs-lite.x86_64 32:9.9.4-38.el7.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ================================================================================================================================================
     Package                                        Arch                                   Version                                              Repo
    ================================================================================================================================================
    Updating:
     bind                                           x86_64                                 32:9.9.4-38.el7.2                                    cr  
    Installing for dependencies:
     GeoIP                                          x86_64                                 1.5.0-9.el7                                          base
    Updating for dependencies:
     bind-libs                                      x86_64                                 32:9.9.4-38.el7.2                                    cr  
     bind-libs-lite                                 x86_64                                 32:9.9.4-38.el7.2                                    cr  
     bind-license                                   noarch                                 32:9.9.4-38.el7.2                                    cr  
    
    Transaction Summary
    ================================================================================================================================================
    Install             ( 1 Dependent package)
    Upgrade  1 Package  (+3 Dependent packages)
    
    Total download size: 4.3 M
    Is this ok [y/d/N]: y
    

    4.复查

    [root@BCLinux ~]# rpm -q bind
    bind-9.9.4-38.el7.2.x86_64
    

    5.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待