BLSA-2018:0012 – [重要] bind的安全警告及修复方法


  • BCLinux Developers

    BLSA-2018:0012 – [重要] bind的安全警告及修复方法

    问题描述

           BIND是一个应用非常广泛的DNS协议的实现,它是美国加州大学Berkeley分校开发和维护的一套DNS域名解析服务软件。最近暴露出一个安全漏洞(CVE-2017-3145),在解析器中,错误的获取清理顺序会导致bind服务崩溃。

    什么是bind?
    Berkeley Internet Name Domain(BIND)是域名系统(DNS)协议的实现。BIND包括一个DNS服务器(命名);一个解析器库(用于在与DNS交互时使用的应用程序);以及用于验证DNS服务器是否正确运行的工具。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全修复

    • CVE-2017-3145[重要]
      bind在解析器中不正确的获取清理排序可能会导致bind服务崩溃。
      有关该安全漏洞问题(s)的更多细节,包括漏洞影响、CVSS分数和其他相关信息,请参考CVE链接页面。

    解决方案

    目前,BCLinux 的官方源已经提供 bind 的更新软件包,受影响的 BCLinux 7.3 客户端用户需要升级到 9.9.4-50.el7_3.3 版本。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源
    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root 1093 Mar 29 08:09 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    1. 安装更新
    [root@BCLinux7_3 ~]# yum update bind
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package bind.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind.x86_64 32:9.9.4-50.el7_3.3 will be an update
    --> Processing Dependency: bind-libs = 32:9.9.4-50.el7_3.3 for package: 32:bind-9.9.4-50.el7_3.3.x86_64
    --> Running transaction check
    ---> Package bind-libs.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind-libs.x86_64 32:9.9.4-50.el7_3.3 will be an update
    --> Processing Dependency: bind-license = 32:9.9.4-50.el7_3.3 for package: 32:bind-libs-9.9.4-50.el7_3.3.x86_64
    --> Running transaction check
    ---> Package bind-license.noarch 32:9.9.4-37.el7 will be updated
    --> Processing Dependency: bind-license = 32:9.9.4-37.el7 for package: 32:bind-libs-lite-9.9.4-37.el7.x86_64
    ---> Package bind-license.noarch 32:9.9.4-50.el7_3.3 will be an update
    --> Running transaction check
    ---> Package bind-libs-lite.x86_64 32:9.9.4-37.el7 will be updated
    ---> Package bind-libs-lite.x86_64 32:9.9.4-50.el7_3.3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ====================================================================================================================================================
     Package                              Arch                         Version                                      Repository                     Size
    ====================================================================================================================================================
    Updating:
     bind                                 x86_64                       32:9.9.4-50.el7_3.3                          updates                       1.8 M
    Updating for dependencies:
     bind-libs                            x86_64                       32:9.9.4-50.el7_3.3                          updates                       1.0 M
     bind-libs-lite                       x86_64                       32:9.9.4-50.el7_3.3                          updates                       730 k
     bind-license                         noarch                       32:9.9.4-50.el7_3.3                          updates                        84 k
    
    Transaction Summary
    ====================================================================================================================================================
    Upgrade  1 Package (+3 Dependent packages)
    
    Total download size: 3.6 M
    Is this ok [y/d/N]:y 
    
    1. 复查
    [root@BCLinux7_3 ~]# rpm -q bind
    bind-9.9.4-50.el7_3.3.x86_64
    
    1. 重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新