Vine Linux バグトラッキングシステム

課題の詳細を表示 コメントにジャンプ ] 課題の履歴 ] 印刷 ]
IDプロジェクトカテゴリ登録日最終更新
0003053Vine Linux1 バグ2016-09-28 20:172017-02-09 12:17
報告者sakenakabone 
担当者 
優先度再現性未試験 
状態新規解決状況不明 
バージョン6.3 
修正予定バージョン修正済バージョン 
概要0003053: BINDに新たな脆弱性
説明CVE-2016-2776
https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html [^]
タグ設定されていません。
arch
パッケージbind-9.9.7.P3-4vl6
添付ファイル

- 関連

-  コメント
(0009984)
sakenakabone (報告者)
2016-10-03 17:21

PoCが公開されたとのことです。
https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html [^]
(0009985)
sakenakabone (報告者)
2016-10-16 17:46

「セキュリティチームが…」という定番のツッコミが入らないので不安になって来ました。
こちらでrpmを作ってみたところ、ごく単純にソースの入れ替えだけで問題ありませんでした。
今のところ正常に作動しています。



--- bind-9.9.6.P2-1vl6.spec 2015-02-19 11:19:49.000000000 +0900
+++ bind-vl.spec 2016-10-05 14:53:52.701356784 +0900
@@ -1,7 +1,7 @@
 %define _localstatedir /var
 
-%define pversion 9.9.6.P2
-%define sversion 9.9.6-P2
+%define pversion 9.9.9.P3
+%define sversion 9.9.9-P3
 %define bind_epoch 1
 
 %define bind_uid 25
@@ -14,7 +14,7 @@
 Release: 1%{?_dist_release}
 License: distributable
 Group: System Environment/Daemons
-Source: ftp://ftp.isc.org/isc/bind9/%{version}/%{name}-%{sversion}.tar.gz [^]
+Source: https://ftp.isc.org/isc/bind9/%{sversion}/%{name}-%{sversion}.tar.gz [^]
 Source1: bind-manpages.tar.bz2
 Source2: named.sysconfig
 Source3: named.init
(0010007)
sakenakabone (報告者)
2016-11-02 22:35

またまた新たな脆弱性だそうです。
CVE-2016-8864
https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html [^]
(0010011)
kudoh (開発者)
2016-11-03 11:18

現在6.5βで入っているのは9.9.7.P3-5vl6で、以下が未修正です。

CVE-2016-2776
CVE-2016-8864
(0010016)
sakenakabone (報告者)
2016-11-06 11:19

seed plusにbind-9.9.9.P4-1vl7.src.rpmが出たので、6.3でリビルドして使ってみました。
今のところ正常に作動しています。
(0010047)
sakenakabone (報告者)
2017-01-12 14:26

本日、さらに新たな脆弱性が公表されました。
Vineでは過去の脆弱性のセキュリティアップデートが出ていませんが、セキュリティチームさんは解散してしまったのでしょうか?

CVE-2016-9131
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html [^]

CVE-2016-9147
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html [^]

CVE-2016-9444
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html [^]

CVE-2016-9778
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html [^]
(0010051)
sakenakabone (報告者)
2017-02-09 12:17

また新たな脆弱性が公表されました。
今回のは影響範囲が狭いですが、放置されてる影響の大きい過去分はいつになったらエラッタ出るんですか?

CVE-2017-3135
https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html [^]

- 課題の履歴
変更日 ユーザー名 項目 変更内容
2016-09-28 20:17 sakenakabone 新規課題
2016-10-03 17:21 sakenakabone コメント追加: 0009984
2016-10-16 17:46 sakenakabone コメント追加: 0009985
2016-11-02 22:35 sakenakabone コメント追加: 0010007
2016-11-03 11:18 kudoh コメント追加: 0010011
2016-11-06 11:19 sakenakabone コメント追加: 0010016
2017-01-12 14:26 sakenakabone コメント追加: 0010047
2017-02-09 12:17 sakenakabone コメント追加: 0010051


Copyright © 2000 - 2017 MantisBT Team
Copyright © 2012 - 2017 Project Vine
Powered by Mantis Bugtracker