摘要:
bind security update
安全等级: High
公告ID: KylinSec-SA-2024-3566
发布日期: 2024年8月23日
关联CVE: CVE-2023-50868 CVE-2024-0760
Berkeley Internet Name Domain (BIND) 是域名系统 (DNS) 协议的一种实现,并提供了一个可公开重新分发的域名系统主要组件的参考实现。此软件包包含运行 DNS 服务器所需的组件。
安全修复:
DNS 协议的“最接近封闭证明”(在跳过 RFC 9276 指南时遵循 RFC 5155)方面允许远程攻击者通过 DNSSEC 响应在随机子域攻击中造成拒绝服务(SHA-1 计算的 CPU 消耗),这通常被称为“NSEC3”问题。RFC 5155 规范暗示在某些情况下,算法必须执行数千次哈希函数的迭代。(CVE-2023-50868)
恶意客户端可以通过 TCP 发送大量 DNS 消息,这可能会在攻击进行期间导致服务器变得不稳定。攻击停止后,服务器可能会恢复。使用访问控制列表 (ACLs) 无法缓解此攻击。
此问题影响 BIND 9 的 9.18.1 至 9.18.27 版本、9.19.0 至 9.19.24 版本,以及 9.18.11-S1 至 9.18.27-S1 版本。(CVE-2024-0760)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-50868 | KY3.5.2 | bind | Fixed |
| CVE-2024-0760 | KY3.5.2 | bind | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| bind-dnssec-doc | noarch | 9.16.23-23.ky3_5 |
| bind-license | noarch | 9.16.23-23.ky3_5 |
| python3-bind | noarch | 9.16.23-23.ky3_5 |
| bind | x86_64 | 9.16.23-23.ky3_5 |
| bind-chroot | x86_64 | 9.16.23-23.ky3_5 |
| bind-devel | x86_64 | 9.16.23-23.ky3_5 |
| bind-dnssec-utils | x86_64 | 9.16.23-23.ky3_5 |
| bind-libs | x86_64 | 9.16.23-23.ky3_5 |
| bind-pkcs11 | x86_64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-devel | x86_64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-libs | x86_64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-utils | x86_64 | 9.16.23-23.ky3_5 |
| bind-utils | x86_64 | 9.16.23-23.ky3_5 |
| bind | aarch64 | 9.16.23-23.ky3_5 |
| bind-chroot | aarch64 | 9.16.23-23.ky3_5 |
| bind-devel | aarch64 | 9.16.23-23.ky3_5 |
| bind-dnssec-utils | aarch64 | 9.16.23-23.ky3_5 |
| bind-libs | aarch64 | 9.16.23-23.ky3_5 |
| bind-pkcs11 | aarch64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-devel | aarch64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-libs | aarch64 | 9.16.23-23.ky3_5 |
| bind-pkcs11-utils | aarch64 | 9.16.23-23.ky3_5 |
| bind-utils | aarch64 | 9.16.23-23.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
