摘要:
unbound security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4099
发布日期: 2024年10月18日
关联CVE: CVE-2024-8508
Unbound 是一个验证型、递归型、带缓存的 DNS 解析器。它旨在实现快速和精简,并基于开放标准融入了现代功能。为了增强在线隐私,Unbound 支持 DNS-over-TLS,允许客户端加密其通信。Unbound 适用于大多数平台,如 FreeBSD、OpenBSD、NetBSD、MacOS、Linux 和 Microsoft Windows。Unbound 是一款完全免费、遵循 BSD 许可证的开源软件。它不会为付费客户提供定制构建或特定功能。
安全修复:
NLnet Labs 的 Unbound 在处理需要进行名称压缩的包含非常大资源记录集(RRsets)的回复时,存在一个漏洞。包含非常大 RRsets 的恶意上游响应可能会导致 Unbound 在对下游回复应用名称压缩上花费大量时间。这会导致性能下降,并在精心策划的攻击中最终导致拒绝服务。恶意行为者可以通过向 Unbound 查询包含非常大 RRsets 的恶意区域的特殊内容来利用此漏洞。在 Unbound 回复查询之前,它会尝试应用名称压缩,这是一个无限制的操作,可能会锁定 CPU 直到整个数据包完成。Unbound 1.21.1 版本对每个数据包愿意执行的名称压缩计算次数引入了硬性限制。对于需要更多压缩的数据包,即使对于 TCP 上的巨大消息,也会生成半压缩数据包或截断数据包,以避免长时间锁定 CPU。此更改不应影响正常的 DNS 流量。(CVE-2024-8508)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-8508 | KY3.4-5A | unbound | Fixed |
| CVE-2024-8508 | KY3.5.2 | unbound | Fixed |
| CVE-2024-8508 | V6 | unbound | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-unbound | x86_64 | 1.11.0-16.kb1.ky3_4 |
| unbound | x86_64 | 1.11.0-16.kb1.ky3_4 |
| unbound-devel | x86_64 | 1.11.0-16.kb1.ky3_4 |
| unbound-help | x86_64 | 1.11.0-16.kb1.ky3_4 |
| unbound-libs | x86_64 | 1.11.0-16.kb1.ky3_4 |
| python3-unbound | aarch64 | 1.11.0-16.kb1.ky3_4 |
| unbound | aarch64 | 1.11.0-16.kb1.ky3_4 |
| unbound-devel | aarch64 | 1.11.0-16.kb1.ky3_4 |
| unbound-help | aarch64 | 1.11.0-16.kb1.ky3_4 |
| unbound-libs | aarch64 | 1.11.0-16.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-unbound | x86_64 | 1.17.1-11.ks6 |
| unbound | x86_64 | 1.17.1-11.ks6 |
| unbound-anchor | x86_64 | 1.17.1-11.ks6 |
| unbound-devel | x86_64 | 1.17.1-11.ks6 |
| unbound-help | x86_64 | 1.17.1-11.ks6 |
| unbound-libs | x86_64 | 1.17.1-11.ks6 |
| unbound-utils | x86_64 | 1.17.1-11.ks6 |
| python3-unbound | aarch64 | 1.17.1-11.ks6 |
| unbound | aarch64 | 1.17.1-11.ks6 |
| unbound-anchor | aarch64 | 1.17.1-11.ks6 |
| unbound-devel | aarch64 | 1.17.1-11.ks6 |
| unbound-help | aarch64 | 1.17.1-11.ks6 |
| unbound-libs | aarch64 | 1.17.1-11.ks6 |
| unbound-utils | aarch64 | 1.17.1-11.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-unbound | x86_64 | 1.13.2-15.ky3_5 |
| unbound | x86_64 | 1.13.2-15.ky3_5 |
| unbound-devel | x86_64 | 1.13.2-15.ky3_5 |
| unbound-help | x86_64 | 1.13.2-15.ky3_5 |
| unbound-libs | x86_64 | 1.13.2-15.ky3_5 |
| python3-unbound | aarch64 | 1.13.2-15.ky3_5 |
| unbound | aarch64 | 1.13.2-15.ky3_5 |
| unbound-devel | aarch64 | 1.13.2-15.ky3_5 |
| unbound-help | aarch64 | 1.13.2-15.ky3_5 |
| unbound-libs | aarch64 | 1.13.2-15.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
