CentOS 6：dnsmasq (CESA-2013:0277)

medium Nessus 插件 ID 65133

语言：

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 dnsmasq 程序包修复了一个安全问题和一个缺陷并添加了多种增强，现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

dnsmasq 程序包中包含 Dnsmasq、轻量级 DNS（域名服务器）转发器和 DHCP（动态主机配置协议）服务器。

已发现 dnsmasq 在与某些 libvirtd 配置结合使用时，可错误处理网络接口中预期要禁止的网络数据包。未经认证的远程攻击者可利用此缺陷，通过 DNS 放大攻击造成拒绝服务。(CVE-2012-3411)

为全面解决此问题，建议 libvirt 程序包用户安装更新后的 libvirt 程序包。有关其他信息，请参阅 RHSA-2013:0276。

此更新还修复以下缺陷：

* 由于回归，租期更改脚本已禁用。
因此，/etc/dnsmasq.conf 配置文件中的“dhcp-script”选项未运行。此更新修正了该问题，“dhcp-script”选项现在按预期运行。(BZ#815819)

此更新还添加了以下增强：

* 在此更新之前，dnsmasq 未验证给定的 tftp 目录是否实际存以及是否为目录。因此，启动时不会立即报告配置错误。此更新改进了代码，可验证 tftp 根目录选项。
因此，当 dnsmasq 由外部进程（例如 libvirt）调用时，错误查找经过了特别简化。(BZ#824214)

* dnsmasq init 脚本在“stop”、“restart”和“condrestart”命令中使用不正确的进程标识符 (PID)。因此，如果除了 init 脚本启动的系统一之外还有一些 dnsmasq 实例在运行，则通过“stop”或“restart”重复调用“service dnsmasq”将会停止所有运行的 dnsmasq 实例，包括使用 init 脚本时未启动的实例。dnsmasq init 脚本代码已经修正，调用“stop”、“restart”和“condrestart”命令时可获取正确的 PID。因此，如果除了 init 脚本启动的系统一之外还有一些 dnsmasq 实例在运行，则通过“stop”或“restart”调用“service dnsmasq”时，只有系统一停止或重新启动。
(BZ#850944)

* 当一个接口上启用 DHCP 后运行两个或更多 dnsmasq 进程时，DHCP RELEASE 数据包有时会丢失。因此，当一个接口上启用 DHCP 后运行两个或更多 dnsmasq 进程时，释放 IP 地址有时会失败。如果当一个接口上启用 DHCP 后运行 dnsmasq，此更新将在 DHCP 套接字上设置 SO_BINDTODEVICE 套接字选项。因此，当一个接口上启用 DHCP 后运行两个或更多 dnsmasq 进程时，它们可以按预期释放 IP 地址。(BZ#887156)

建议所有 dnsmasq 用户升级这些更新后的程序包，其中修复了这些问题并添加这些增强。