我正在运行带有 BIND 9.8.1-P1 + 的 Ubuntu Server 12.04.3 LTS,以确保我拥有最新的更新
sudo apt-get update
sudo apt-get upgrade
sudo dist-upgrade
这一切都运行正常,但我注意到 Bind 版本仍然是 9.8.1-P1,并且发现 Ubuntu 12.04.3 尚未发布最新推荐的 Bind 版本 9.8.6-P1 甚至 9.9.4-P1,该版本位于:-
https://www.isc.org/downloads/software-support-policy/bind-software-status/
由于此绑定版本 9.8.1-P1 中存在安全漏洞,我们无法通过 PCI 合规性:-
DNS 服务器递归查询缓存中毒弱点 dns (53/udp) CVE-1999-0024 中等 5.0 失败
解决方案:升级 Bind 至版本 9.9.4-P1
DNS 服务器缓存侦听远程信息泄露 dns (53/udp) 中等,5.0,失败(此漏洞未包含在 NVD 中)
解决方案:将 Bind 升级到版本 9.9.4-P1 并将以下行添加到 named.conf 的选项部分:allow-recursion { internaldns; }; 例如。options { allow-query { internaldns; }; allow-recursion { internaldns; }; }; (此新功能是在 Bind 9.4 中引入的)(http://fixunix.com/dns/496768-dns-cache-snooping.html)
所以我的问题是如何升级到绑定版本 9.9.4-P1 +在 Ubuntu 12.04 LTS 上运行该版本是否安全?
答案1
我不知道它是否安全,但你应该能够使用这个 PPA 为 Bind 进行升级。我将卸载旧版本,然后使用以下命令从此 PPA 安装新版本。
sudo add-apt-repository ppa:malcscott/bind9.9
sudo apt-get update
sudo apt-get install bind9
答案2
您可以从下载更高版本
https://kb.isc.org/article/AA-01069/0/BIND-9.9.4-P1-Release-Notes.html
但是你必须自己编译它(这不是很难,但可能超出了你的兴趣范围)
我不能保证“安全”,但如果它编译成功,那就是一个开始。在生产机器上试用之前,尝试使用可以丢弃的 VPS 进行编译试运行。Digital Ocean 的 Ubuntu VPS 价格不到每分钟 1 美分(实际上为 5 美元/月)。花一个小时在 Ubuntu VPS 上试用,满意(或非常不满意)后再丢弃 VPS。你甚至不必花 5 美元!
GL
答案3
Ubuntu 已经应用了这些补丁,实际上那个 CVE 已经很老了。“CVE-1999-0024”表示问题发生的年份,即 Ubuntu 出现之前的 1999 年。无论何时,您读到的都是谎言或误导。
Ubuntu 和 Debian 以及 IT 领域的几乎所有人都非常重视(并非真的)安全漏洞,尤其是开源漏洞。安全漏洞在发布周期中具有优先权,并且默认情况下会每天向最终用户升级。
如果您正在运行 Ubuntu 的更新版本,那么您可以确信特定的漏洞已被修复。