・ESMPRO/ServerAgentServiceは、Red Hat Enterprise Linux(以降RHEL) 6の場合に、
ISC BINDを使用するため、影響があります。
RHEL7, RHEL8の場合は、ISC BINDを使用しないため、影響はありません。
・ESMPRO/ServerAgentは、ISC BINDを使用しないため、影響はありません。
|
RHEL8 |
RHEL7 |
RHEL6 |
ESMPRO/ServerAgentService(全バージョン) |
影響なし |
影響なし |
影響あり |
ESMPRO/ServerAgent(全バージョン) |
影響なし |
影響なし |
影響なし |
■ESMPRO/ServerAgentService, ESMPRO/ServerAgentの
インストール状態を確認する方法
1)rootユーザーでログインします。
2)インストールされているパッケージを確認します。
# rpm -qa | grep Esmpro
Esmpro-Providerがインストールされている場合、
ESMPRO/ServerAgentServiceがインストールされています。
Esmpro-commonがインストールされている場合、
ESMPRO/ServerAgentがインストールされています。
対処
影響があるRHEL6環境の場合は、本脆弱性を利用した攻撃が行われる可能性があります。
RHEL6は標準サポート(メンテナンスサポート2)のフェーズを
2020年11月30日で終了しており、本脆弱性のウェブサイトでは
サポート外(Out of support scope)となっているため、
修正パッケージは提供されない見込みです。
CVE-2021-25219
Red Hat社からMitigation(緩和策)として、namedサービスの設定ファイル
(/etc/named.conf)で「lame-ttl 0;」を設定し、lame cacheを無効にする方法が
掲載されておりますので、対処を実施してください。
https://access.redhat.com/security/cve/cve-2021-25219
CVE-2021-25220
Red Hat社からMitigation(緩和策)として、DNSフォワーダーを使用している場合に、
すべての転送または再帰問い合わせの設定を削除するよう、掲載されておりますので、
対処を実施してください。
https://access.redhat.com/security/cve/cve-2021-25220
ISC BINDとの関係
・ESMPRO/ServerAgentServiceのESMPROプロバイダは、
cim serverとして、tog-pegasusを使用します。
・RHEL6のtog-pegasusは依存パッケージにtog-pegasus-libsがあり、
tog-pegasus-libsの依存パッケージに本脆弱性に関連する
ISC BIND(bind-utils, bind-libs)があります。
Esmpro-Providerパッケージ
-> tog-pegasusパッケージ
-> tog-pegasus-libsパッケージ
-> bind-utilsパッケージ
-> bind-libsパッケージ
RHEL7, RHEL8のtog-pegasusは、本脆弱性に関連するパッケージは使用しないため、
影響はありません。
・ESMPRO/ServerAgentは、本脆弱性に関連するパッケージは使用しないため、
影響はありません。