检测

MagicLinux 3 bind-9.3.4-10.P1.1AXS3 (AXSA:2009-94:02)

medium Nessus 插件 ID 284170

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2009-94:02 公告中提及的多个漏洞的影响。

 BIND (Berkeley Internet Name Domain) 是 DNS(域名系统)协议的实现。BIND 包含一个将主机名解析到 IP 地址的 DNS 服务器 (named)、一个解析器库(与 DNS 接合时供应用程序使用的例程),以及用于验证 DNS 服务器是否正常运行的工具。
 修复的缺陷:
 CVE-2007-6283 Red Hat Enterprise Linux 5 和 Fedora 以全局可读的权限安装 Bind /etc/rndc.key 文件从而允许本地用户执行未经授权的 named 命令例如通过停止 named 造成拒绝服务。
 CVE-2008-0122 ISC BIND 9.4.2 和更早版本中 libbind 的 inet_network 函数存在差一错误如在 FreeBSD 6.2 到 7.0-PRERELEASE 中的 libc 中使用则可允许上下文有关的攻击者造成拒绝服务崩溃和可能通过触发内存损坏的构建输入执行任意代码。
 CVE-2008-1447 (1) 9.5.0-P1、9.4.2-P1 和 9.3.5-P1 之前的 BIND 8 和 9 中实现的 DNS 协议(2) Windows 2000 SP4、XP SP2 和 SP3 以及 Server 2003 SP1 和 SP2 中的 Microsoft DNS和其他实现允许远程攻击者通过生日攻击欺骗 DNS 流量该攻击使用行政区内参照对递归解析器造成缓存中毒其与 DNS 事务 ID 和源端口的随机性不足相关又称为 DNS 套接字熵不足漏洞或 Kaminsky 缺陷。
 其他缺陷
 - 接受 krb5-self 和 krb5-subdomain update-policy 匹配
 - 从 named initscript 添加了 configtest 到使用情况报告
 - 向 named 添加了 GSS-TSIG 支持
 - 向 nsupdate 添加了 GSS-TSIG 支持
 - bind-chroot 更新现在遵从用户定义的 chroot 目录
 - bind-sdb sripplet 正确设置 /etc/openldap/slapd.conf 所有权
 - 正确检查 DSA_do_verify 返回值
 - 不在 chroot/proc 上调用 restorecon
 - 将某些子域用作 rndc 重新加载参数时不崩溃
 - 修复了 SDB 内容的构建
 - 修复了 ${chroot}/dev/random SELinux 标签
 - 修复了 bind-chroot-admin 中的 named.log 同步
 - 修复了 DBUS 初始化期间的争用条件
 - 修复了 rndc 停止返回值处理程序
 - 修复了 named 的 ldap 方案的错误权限
 - initscript LSD 标准化
 - initscript 中的轻微变更
 - 从 caching-nameserver.conf 中删除了 query-source{,-v6} 选项
 - 现在 named 重新加载失败时从 initscript 返回一个非零值
 - 修订了可执行文件和脚本的权限
 - 如 文档中所述默认将打开文件限制设置为无限制
 - 已抑制来自 chroot 的 specfile 脚本的错误
 - 更新了 lib/dns/rootns.c 文件中的 L.ROOT-SERVERS.NET 地址
 - 更新了 named.root 区域以影响根 IPv6 迁移

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/732

插件详情

严重性: Medium

ID: 284170

文件名: miracle_linux_AXSA-2009-94.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2008-0122

CVSS v3

风险因素: Medium

基本分数: 6.8

时间分数: 6.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2008-1447

漏洞信息

CPE: p-cpe:/a:miracle:linux:bind-libs, p-cpe:/a:miracle:linux:bind-chroot, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:bind-devel, p-cpe:/a:miracle:linux:bind, p-cpe:/a:miracle:linux:bind-utils, p-cpe:/a:miracle:linux:caching-nameserver

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/8/4

漏洞发布日期: 2007/12/17

参考资料信息

CVE: CVE-2007-6283, CVE-2008-0122, CVE-2008-1447

IAVA: 2008-A-0045