Estou executando o Ubuntu Server 12.04.3 LTS com o BIND 9.8.1-P1 + para ter certeza de que tenho as atualizações mais recentes que executei
sudo apt-get update
sudo apt-get upgrade
sudo dist-upgrade
Isso tudo funcionou bem, mas notei que a versão do Bind ainda é 9.8.1-P1 & amp; desde que descobriu que o Ubuntu 12.04.3 não lançou a última versão recomendada de Bind de 9.8.6-P1 ou mesmo 9.9.4-P1 para esta versão do Ubuntu que se encontra em: -
link
Como existem falhas de segurança nesta versão de ligação 9.8.1-P1, estamos não é possível aprovar a conformidade com PCI: -
DNS Recursive Query Cache Poisoning Enfraquecimento dns (53 / udp) CVE-1999-0024 Medium 5.0 Falha
Solução: Upgrade Bind para a versão 9.9.4-P1
DNS Server Cache Snooping dns de divulgação remota de informações (53 / udp) Medium, 5.0, Fail (a vulnerabilidade não está incluída no NVD)
Solução: Upgrade Bind para a versão 9.9.4-P1 & amp; adicione a seguinte linha para a seção de opções do named.conf: allow-recursion {internaldns; }; por exemplo. opções {allow-query {internaldns; }; allow-recursion { internaldns; }; }; (Este novo recurso foi introduzido no Bind 9.4) ( link )
Então, minha pergunta é como atualizar para vincular a versão 9.9.4-P1 + também é seguro executar essa versão no Ubuntu 12.04 LTS?
Eu não sei se é seguro ou não, mas você deve poder atualizar usando este PPA para Bind. Eu iria desinstalar a versão antiga e, em seguida, instale a nova versão deste PPA usando os seguintes comandos.
sudo add-apt-repository ppa:malcscott/bind9.9
sudo apt-get update
sudo apt-get install bind9
Você pode baixar as versões posteriores de
Mas você tem que compilar você mesmo (o que não é terrível, mas pode ser mais do que você tem interesse em fazer)
Eu não posso garantir "segurança", mas se compilar, isso é um começo. Tente usar um VPS que você pode jogar fora para fazer um teste de compilação, ANTES de experimentá-lo em sua máquina de produção. A Digital Ocean tem Ubuntu VPSes por menos de 1 centavo por minuto (US $ 5 / mês, na verdade). Passe uma hora experimentando em um Ubuntu vps e jogue o VPS fora quando estiver satisfeito (ou totalmente chateado). Você nem precisa gastar US $ 5!
GL
O Ubuntu já aplicou esses patches, na verdade esse CVE é bem antigo. "CVE-1999-0024" diz o ano da edição, que era 1999 antes do Ubuntu existir. Sempre que você leu que está mentindo ou desinformando você.
Ubuntu e Debian e essencialmente todos na área de TI, levam muito a sério (não realmente) vulnerabilidades de segurança, especialmente as de código aberto. As vulnerabilidades de segurança recebem prioridade no ciclo de lançamento e são atualizadas por padrão diariamente para os usuários finais.
Se você estiver executando uma versão atualizada do Ubuntu, pode ter certeza de que a vulnerabilidade específica foi corrigida.