-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2012-21 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2012/11/19 最終更新日 : 2012/11/19 パッケージ名 : bind タイトル : bind のサービス停止 概要 : bind パッケージには、ホスト名を IP アドレスに(またはその逆に)変換する named ネームサーバーや、リゾルバライブラリ(ドメインネームサービスに アクセスする際に、プログラムが使用するインターフェースを提供する システムライブラリ内の各種ルーチン)が含まれています。 bind に DoS 攻撃を受けてしまう脆弱性が存在します。 影響 : 悪意のあるリクエストを受け取る事により、 bind のサービスが停止してしまう可能性があります。 影響製品 : - Turbolinux Client 12.5 - Turbolinux Appliance Server 3.0 x64 Edition - Turbolinux Appliance Server 3.0 - Turbolinux 11 Server x64 Edition - Turbolinux 11 Server - Turbolinux Appliance Server 2.0 (延長メンテナンス) - Turbolinux 10 Server x64 Edition (延長メンテナンス) - Turbolinux 10 Server (延長メンテナンス) 対策方法 : 下記パッケージにアップデートを行って下さい。 [Turbolinux Client 12.5 の場合] アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし メニューから [アップデートの参照] を選択し行って下さい。 [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合] アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux 10 Server, Turbolinux 10 Server x64 Edition の場合] アップデートは、Kメニュー「左端の メニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux Appliance Server の場合] アップデートは、 TLAS Server Desktop 上から行って下さい。 コンソールから実行する場合 ---------------------------------------- [Turbolinux 11 Server の場合] # turbo+ --cui もしくは、 # turbo+ -u bind bind-chroot bind-devel bind-libs bind-sdb bind-utils [Turbolinux 10 Server の場合] # turbo+ --cui もしくは、 # turbo+ -u bind bind-chroot bind-libs bind-utils ---------------------------------------- Source Packages Size: MD5 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/bind-9.4.2-15.src.rpm 6520042 fae659058864f9bcb564bb872540e20d Binary Packages Size: MD5 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-devel-9.4.2-15.i586.rpm 5060651 14932da2b07103c90a96170615381199 http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-libs-9.4.2-15.i586.rpm 900579 81b1a2a70abc76bfb183de24285613fb http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/bind-utils-9.4.2-15.i586.rpm 372436 0ec991eee232b8c48b2a495a6be58ef5 Source Packages Size: MD5 bind-9.4.2-15.src.rpm 6535108 50e1a41388eddcadfde5c83081fd9e4a Binary Packages Size: MD5 bind-9.4.2-15.x86_64.rpm 1654611 94707113cfa061cb868866dad9349d55 bind-chroot-9.4.2-15.x86_64.rpm 15999 31b06d7bb6a291dc47c4e66048635707 bind-libs-9.4.2-15.x86_64.rpm 929513 6471b2e5a22f889560973917f01460c5 bind-sdb-9.4.2-15.x86_64.rpm 223207 cb01793382a131eea56c39f3dd73af8a bind-utils-9.4.2-15.x86_64.rpm 380192 997f9093f90848c47c35e4e933b120dd Source Packages Size: MD5 bind-9.4.2-15.src.rpm 6535108 50e1a41388eddcadfde5c83081fd9e4a Binary Packages Size: MD5 bind-9.4.2-15.i686.rpm 1634426 ab93567d351c1b8131c382e9469d7c29 bind-chroot-9.4.2-15.i686.rpm 16039 00ae885d025e6038d45a19dce72baaba bind-libs-9.4.2-15.i686.rpm 834392 c2fdbc537774ac0da39443e64684a5b5 bind-sdb-9.4.2-15.i686.rpm 204868 f06f120775852ed994ab17ea95d3b0ff bind-utils-9.4.2-15.i686.rpm 353950 39bb93821cbefc3c50dd85d851ac831a Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/bind-9.4.2-15.src.rpm 6535108 50e1a41388eddcadfde5c83081fd9e4a Binary Packages Size: MD5 bind-9.4.2-15.x86_64.rpm 1654611 94707113cfa061cb868866dad9349d55 bind-chroot-9.4.2-15.x86_64.rpm 15999 31b06d7bb6a291dc47c4e66048635707 bind-devel-9.4.2-15.x86_64.rpm 3224927 741eee472b6b43b3b06f15e7a095e622 bind-libs-9.4.2-15.x86_64.rpm 929513 6471b2e5a22f889560973917f01460c5 bind-sdb-9.4.2-15.x86_64.rpm 223207 cb01793382a131eea56c39f3dd73af8a bind-utils-9.4.2-15.x86_64.rpm 380192 997f9093f90848c47c35e4e933b120dd Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/bind-9.4.2-15.src.rpm 6535108 50e1a41388eddcadfde5c83081fd9e4a Binary Packages Size: MD5 bind-9.4.2-15.i686.rpm 1634426 ab93567d351c1b8131c382e9469d7c29 bind-chroot-9.4.2-15.i686.rpm 16039 00ae885d025e6038d45a19dce72baaba bind-devel-9.4.2-15.i686.rpm 3134780 4bea3fa2cff4f9cf8c8e8308d8c08499 bind-libs-9.4.2-15.i686.rpm 834392 c2fdbc537774ac0da39443e64684a5b5 bind-sdb-9.4.2-15.i686.rpm 204868 f06f120775852ed994ab17ea95d3b0ff bind-utils-9.4.2-15.i686.rpm 353950 39bb93821cbefc3c50dd85d851ac831a Source Packages Size: MD5 bind-9.2.3-29.src.rpm 3583248 edc8a36a9f303642f2509869de82b2e5 Binary Packages Size: MD5 bind-9.2.3-29.i586.rpm 372863 edda8009a9201362a85f704465aedb4d bind-chroot-9.2.3-29.i586.rpm 11517 b1b5abfb04f98fb52bb2dd5853721977 bind-libs-9.2.3-29.i586.rpm 416738 d96f0ef3dfd406cc12829cb98a834765 bind-utils-9.2.3-29.i586.rpm 98145 992514cd4c22caaaa9ba83c988892454 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/bind-9.2.3-29.src.rpm 3583248 edc8a36a9f303642f2509869de82b2e5 Binary Packages Size: MD5 bind-9.2.3-29.x86_64.rpm 399813 df610a39be0bcd3c40734083fdacde45 bind-chroot-9.2.3-29.x86_64.rpm 11479 2fc8c1f8ff8be0245253230260a8901e bind-libs-9.2.3-29.x86_64.rpm 518589 6c1cfa2d2da334f693e78b7fa1e0f3dc bind-utils-9.2.3-29.x86_64.rpm 109544 0af8a1828c7e2283d660ecea59983026 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/bind-9.2.3-29.src.rpm 3583248 edc8a36a9f303642f2509869de82b2e5 Binary Packages Size: MD5 bind-9.2.3-29.i586.rpm 372863 edda8009a9201362a85f704465aedb4d bind-chroot-9.2.3-29.i586.rpm 11517 b1b5abfb04f98fb52bb2dd5853721977 bind-libs-9.2.3-29.i586.rpm 416738 d96f0ef3dfd406cc12829cb98a834765 bind-utils-9.2.3-29.i586.rpm 98145 992514cd4c22caaaa9ba83c988892454 注意事項 : Turbolinux Appliance Server 2.0, Turbolinux 10 Server x64 Edition Turbolinux 10 Server 環境でアップデート(bind-9.2.3-4 -> bind-9.2.3-10)を行うと、 古いバージョンの bind-9.2.3-4 パッケージが残ってしまう問題が存在します。 (bind-9.2.3-4 の uninstall スクリプトが失敗するため) 実害はありませんが log にインストール失敗のメッセージが表示されます。 恐れ入りますが下記コマンドをコンソールより root ユーザで実行して下さい。 -------------------------------------------------- # rpm -e bind-9.2.3-4 --nodeps --noscripts -------------------------------------------------- またアップデート後、上記コマンドを実行しないと Turbolinux Appliance Server 2.0 の アップデートパッケージリストに bind パッケージが表示されたままになります。 この問題を解消するためには、goozoo (TLBA-2006-71) パッケージを適用する必要があります。 関連文章 : CVE [CVE-2012-5166] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5166 -------------------------------------------------------------------------- 更新履歴 初版 2012/11/19 -------------------------------------------------------------------------- Copyright(C) 2012 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) iEYEARECAAYFAlCpmIEACgkQK0LzjOqIJMxUTACdEfuqp1LvYD1aDvPCV1ux5qPf SJkAnRkKpIXsXyPE3UmaRMwfbKzzgz7J =GxUL -----END PGP SIGNATURE-----