Ubuntu 12.04.3 LTS Bind Upgrade Вопрос
Я использую Ubuntu Server 12.04.3 LTS с BIND 9.8.1-P1 +, чтобы убедиться, что у меня установлены последние обновления, которые я запускал
sudo apt-get update
sudo apt-get upgrade
sudo dist-upgrade
Это все работало нормально, но я заметил, что Bind версия по-прежнему 9.8.1-P1 и с тех пор выяснилось, что Ubuntu 12.04.3 не выпустила последнюю рекомендуемую версию Bind 9.8.6-P1 или даже 9.9.4-P1 с этим выпуском Ubuntu, который находится на: -
https://www.isc.org/downloads/software-support-policy/bind-software-status/
Поскольку в этом есть дыры в безопасности При привязке версии 9.8.1-P1 мы не можем выполнить PCI-совместимость: -
Слабая отладка рекурсивных запросов к DNS-серверу DNS (53 / UDP) CVE-1999-0024 Сбой среднего уровня 5.0
Решение : Обновление Привязка к версии 9.9.4-P1
Отслеживание кэша DNS-сервера Удаленное раскрытие информации dns (53 / udp) Средний, 5.0, сбой (Уязвимость не включена в NVD)
Решение: обновите Bind до версии 9.9.4-P1 и добавьте следующую строку в раздел параметров файла named.conf: allow-recursion {internaldns; }; например. options {allow-query {internaldns; }; allow-recursion {internaldns; }; }; (Эта новая функция была введена в Bind 9.4) ( http://fixunix.com/dns/496768-dns-cache-snooping.html )
Поэтому мой вопрос как мне перейти на версию 9.9.4-P1 + для привязки, а также безопасно ли запускать эту версию на Ubuntu 12.04 LTS?
3 ответа
Я не знаю, безопасно это или нет, но вы должны иметь возможность обновиться, используя этот PPA для Bind. Я бы удалил старую версию и затем установил новую версию из этого PPA, используя следующие команды.
sudo add-apt-repository ppa:malcscott/bind9.9
sudo apt-get update
sudo apt-get install bind9
Более поздние версии можно загрузить с
https://kb.isc.org/article/AA-01069/0/BIND-9.9.4-P1-Release-Notes.html.
Но вы должны скомпилировать его самостоятельно (что не так уж сложно, но это может быть больше, чем вы заинтересованы)
Я не могу поручиться за «безопасность» но если он компилируется, это только начало. Попробуйте использовать VPS, который вы можете выбросить, чтобы выполнить пробный прогон компиляции, ДО того, как вы попробуете его на своей рабочей машине. Digital Ocean имеет VPS Ubuntu менее чем за 1 пенни в минуту (на самом деле 5 долларов в месяц). Проведите час, пробуя это на Ubuntu vps, и выбрасывайте VPS, когда вы удовлетворены (или полностью разозлились). Вам даже не нужно тратить $ 5!
GL
Ubuntu уже применил эти патчи, на самом деле, CVE довольно старый. «CVE-1999-0024» говорит о годе выпуска, который был в 1999 году до появления Ubuntu. Всякий раз, когда вы читаете, это лжет или дезинформирует вас.
Ubuntu и Debian, и, в основном, все в области ИТ, очень серьезно (не совсем) относятся к уязвимостям безопасности, особенно с открытым исходным кодом. Уязвимости безопасности получают приоритет в цикле выпуска, и они обновляются по умолчанию для конечных пользователей.
Если вы используете обновленную версию Ubuntu, вы можете быть уверены, что конкретная уязвимость устранена.