[FUG-BR] portaudit não detecta vulnerabilidade no bindXX-base
Marcelo Gondim
gondim em bsdinfo.com.br
Domingo Outubro 14 13:17:09 BRT 2012
Em 14/10/12 13:10, Marcelo Gondim escreveu:
> Pessoal,
>
> Recentemente descobri que o portaudit não está mostrando vulnerabilidade
> quando estamos usando o bind e a option REPLACE_BASE marcada. Isso faz
> com que o pacote gerado se chame bindXX-base-... e a base de
> vulnerabilidades não contempla esse nome, somente bind e por isso não
> funciona como deveria. Passei para o sec team o problema e já está
> havendo uma discussão sobre isso e acredito que logo teremos uma solução
> definitiva para esse pepino. :) Quem tiver o bind dessa forma vai
> precisar atualizar de qualquer jeito. Para vocês perceberem o problema:
>
> # pkg_info |grep bind
> bind98-base-9.8.3.3 BIND DNS suite with updated DNSSEC and DNS64
>
> root em zeus:~# portaudit -Fda
> New database installed.
> Database created: Thu Oct 11 15:00:02 BRT 2012
> 0 problem(s) in your installed packages found.
>
> De acordo com esse advisory abaixo eu estou vulnerável:
>
> http://www.vuxml.org/freebsd/57a700f9-12c0-11e2-9f86-001d923933b6.html
>
> Estou mandando esse e-mail aqui na lista para avisar à todos que possam
> estar com o mesmo problema. :)
>
> No passado o mesmo ocorria com o pacote do phpmyadmin e não era
> detectado pelo portaudit mas foi corrigido e nunca mais apresentou esse
> erro.
>
> Grande abraço
> Gondim
>
>
Opa pelo visto já adicionaram e agora sim funciona:
# bzcat /var/db/portaudit/auditfile.tbz|strings |grep bind
bind99<9.9.1.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind99-base<9.9.1.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind98<9.8.3.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind98-base<9.8.3.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind97<9.7.6.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind97-base<9.7.6.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind96<9.6.3.1.ESV.R7.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
bind96-base<9.6.3.1.ESV.R7.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9*
-- crash on deliberately constructed combination of records
Mais detalhes sobre a lista de discussão freebsd