-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2012-20 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2012/10/09 最終更新日 : 2012/10/09 パッケージ名 : bind タイトル : bind のサービス停止 概要 : bind パッケージには、ホスト名を IP アドレスに(またはその逆に)変換する named ネームサーバーや、リゾルバライブラリ(ドメインネームサービスに アクセスする際に、プログラムが使用するインターフェースを提供する システムライブラリ内の各種ルーチン)が含まれています。 bind に DoS 攻撃を受けてしまう脆弱性が存在します。 影響 : 悪意のあるリクエストを受け取る事により、 bind のサービスが停止してしまう可能性があります。 影響製品 : - Turbolinux Client 12.5 - Turbolinux Appliance Server 3.0 x64 Edition - Turbolinux Appliance Server 3.0 - Turbolinux 11 Server x64 Edition - Turbolinux 11 Server - Turbolinux Appliance Server 2.0 (延長メンテナンス) - Turbolinux 10 Server x64 Edition (延長メンテナンス) - Turbolinux 10 Server (延長メンテナンス) 対策方法 : 下記パッケージにアップデートを行って下さい。 [Turbolinux Client 12.5 の場合] アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし メニューから [アップデートの参照] を選択し行って下さい。 [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合] アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux 10 Server, Turbolinux 10 Server x64 Edition の場合] アップデートは、Kメニュー「左端の メニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux Appliance Server の場合] アップデートは、 TLAS Server Desktop 上から行って下さい。 コンソールから実行する場合 ---------------------------------------- [Turbolinux 11 Server の場合] # turbo+ --cui もしくは、 # turbo+ -u bind bind-chroot bind-devel bind-libs bind-sdb bind-utils [Turbolinux 10 Server の場合] # turbo+ --cui もしくは、 # turbo+ -u bind bind-chroot bind-libs bind-utils ---------------------------------------- Source Packages Size: MD5 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/bind-9.4.2-14.src.rpm 6519174 c8d4d54ee97262be3040913d61a0b601 Binary Packages Size: MD5 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-devel-9.4.2-14.i586.rpm 5060598 d1efd5e8f935c84f2a248240b90bd8e0 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-libs-9.4.2-14.i586.rpm 900492 58b7ff516e954c330e3ddb7c11a4d13e http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-utils-9.4.2-14.i586.rpm 372357 508d403c248d6a95318fdcb41541efcb Source Packages Size: MD5 bind-9.4.2-14.src.rpm 6533961 5f75c103f68c5c4d9f6cfcc580e0cee3 Binary Packages Size: MD5 bind-9.4.2-14.x86_64.rpm 1655624 84d6f2c8fd2e4c8c2c3bf363f62da4f2 bind-chroot-9.4.2-14.x86_64.rpm 15944 151f5b733d8c8a5348262d45e986d4a7 bind-libs-9.4.2-14.x86_64.rpm 929457 2b85764da02036be4ba7a6623441e3e4 bind-sdb-9.4.2-14.x86_64.rpm 222976 aa8c15e6751cd88ec8e8755d1081cb81 bind-utils-9.4.2-14.x86_64.rpm 380178 2508893c1fe81164d68c8dd694d88227 Source Packages Size: MD5 bind-9.4.2-14.src.rpm 6533961 5f75c103f68c5c4d9f6cfcc580e0cee3 Binary Packages Size: MD5 bind-9.4.2-14.i686.rpm 1634368 cc1ea9d5578ebc5b3333ffcdfcf5b861 bind-chroot-9.4.2-14.i686.rpm 15953 e104f79b665c31fccaa5ff05a07d879a bind-libs-9.4.2-14.i686.rpm 834206 f2c318c9a2ebfe6cd9b98b531e69c364 bind-sdb-9.4.2-14.i686.rpm 204937 23edf0359038d665a27292c2185df8b9 bind-utils-9.4.2-14.i686.rpm 353718 8b7b164fd0e347a099115a81d197f868 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/bind-9.4.2-14.src.rpm 6533961 5f75c103f68c5c4d9f6cfcc580e0cee3 Binary Packages Size: MD5 bind-9.4.2-14.x86_64.rpm 1655624 84d6f2c8fd2e4c8c2c3bf363f62da4f2 bind-chroot-9.4.2-14.x86_64.rpm 15944 151f5b733d8c8a5348262d45e986d4a7 bind-devel-9.4.2-14.x86_64.rpm 3224496 1ea0f0b111a3202d926b4df5659d6ea9 bind-libs-9.4.2-14.x86_64.rpm 929457 2b85764da02036be4ba7a6623441e3e4 bind-sdb-9.4.2-14.x86_64.rpm 222976 aa8c15e6751cd88ec8e8755d1081cb81 bind-utils-9.4.2-14.x86_64.rpm 380178 2508893c1fe81164d68c8dd694d88227 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/bind-9.4.2-14.src.rpm 6533961 5f75c103f68c5c4d9f6cfcc580e0cee3 Binary Packages Size: MD5 bind-9.4.2-14.i686.rpm 1634368 e5a2c19ff77068f37b55663fff86e27b bind-chroot-9.4.2-14.i686.rpm 15953 63ad918078d3c2d2e0c5a3e9ea63f835 bind-devel-9.4.2-14.i686.rpm 3133323 422a09c5c8ae98afb62ce4ff14a2d0e1 bind-libs-9.4.2-14.i686.rpm 834206 f8fc51f2560fb0397ce8a3aa0a7b79ba bind-sdb-9.4.2-14.i686.rpm 204937 f3ba80119324140356247de3a75fc46d bind-utils-9.4.2-14.i686.rpm 353718 a67314f274e8235818cee1207318fcab Source Packages Size: MD5 bind-9.2.3-28.src.rpm 3582149 26bb086f517d48ded457e5c672d11627 Binary Packages Size: MD5 bind-9.2.3-28.i586.rpm 372827 f32c0fbd66c8c62611a35a3c0fde1a50 bind-chroot-9.2.3-28.i586.rpm 11431 1cee6530c0adc4759448580fb2fd30fd bind-libs-9.2.3-28.i586.rpm 416709 1229a1f96cc7606996e708a113f489e4 bind-utils-9.2.3-28.i586.rpm 98072 fc42a5c262bb1dde5cead279a8bce3e3 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/bind-9.2.3-28.src.rpm 3582149 26bb086f517d48ded457e5c672d11627 Binary Packages Size: MD5 bind-9.2.3-28.x86_64.rpm 399610 a5869a8fb00deeb16fc2775d81971612 bind-chroot-9.2.3-28.x86_64.rpm 11399 636439d48a74bd4947f0a8f6136d67cd bind-libs-9.2.3-28.x86_64.rpm 518648 47ad975f2ac2eb40767f528dc84e0202 bind-utils-9.2.3-28.x86_64.rpm 109510 ad2511d713ff21d12ec67eaea4d7faa4 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/bind-9.2.3-28.src.rpm 3582149 26bb086f517d48ded457e5c672d11627 Binary Packages Size: MD5 bind-9.2.3-28.i586.rpm 372827 f32c0fbd66c8c62611a35a3c0fde1a50 bind-chroot-9.2.3-28.i586.rpm 11431 1cee6530c0adc4759448580fb2fd30fd bind-libs-9.2.3-28.i586.rpm 416709 1229a1f96cc7606996e708a113f489e4 bind-utils-9.2.3-28.i586.rpm 98072 fc42a5c262bb1dde5cead279a8bce3e3 注意事項 : Turbolinux Appliance Server 2.0, Turbolinux 10 Server x64 Edition Turbolinux 10 Server 環境でアップデート(bind-9.2.3-4 -> bind-9.2.3-10)を行うと、 古いバージョンの bind-9.2.3-4 パッケージが残ってしまう問題が存在します。 (bind-9.2.3-4 の uninstall スクリプトが失敗するため) 実害はありませんが log にインストール失敗のメッセージが表示されます。 恐れ入りますが下記コマンドをコンソールより root ユーザで実行して下さい。 -------------------------------------------------- # rpm -e bind-9.2.3-4 --nodeps --noscripts -------------------------------------------------- またアップデート後、上記コマンドを実行しないと Turbolinux Appliance Server 2.0 の アップデートパッケージリストに bind パッケージが表示されたままになります。 この問題を解消するためには、goozoo (TLBA-2006-71) パッケージを適用する必要があります。 関連文章 : CVE [CVE-2012-4244] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4244 -------------------------------------------------------------------------- 更新履歴 初版 2012/10/09 -------------------------------------------------------------------------- Copyright(C) 2012 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) iEYEARECAAYFAlBz5qQACgkQK0LzjOqIJMwo/ACfa7omarEbpKol6Lpql+IFb7wg k4sAoLKxetwltD7NrbyI5MQWjDGJJc9D =vfBp -----END PGP SIGNATURE-----