Buenas.

Revisando las vulnerabilidades me he topado con esta que es bastante
antigua y no entiendo muy bien porque no se ha actualizado.

Estoy utilizando Wazuh como SIEM y me detecta esta vulnerabilidad en
los servidores Debian. Resulta que tengo instalado en estos equipos la
versión de bind9 actualizada y parcheada, pero no tengo actualizado
ninguno de estos paquetes:
libdns-export1104
libisc-export1100

Os paso la información del paquete instalado y del bind9

Os ocurre a vosotros lo mismo????
No encuentro la forma de parchear esos paquetes o si incluso los puedo eliminar.

Package: libdns-export1104
Version: 1:9.11.5.P4+dfsg-5.1+deb10u5
Status: install ok installed
Priority: optional
Section: libs
Source: bind9
Maintainer: Debian DNS Team <team+dns@tracker.debian.org>
Installed-Size: 2.474 kB
Depends: libc6 (>= 2.14), libisc-export1100, libssl1.1 (>= 1.1.1)
Homepage: https://www.isc.org/downloads/bind/
Download-Size: desconocido
APT-Manual-Installed: yes
APT-Sources: /var/lib/dpkg/status
Description: Exported DNS Shared Library
The Berkeley Internet Name Domain (BIND) implements an Internet domain
name server. BIND is the most widely-used name server software on the
Internet, and is supported by the Internet Software Consortium, www.isc.org.
.
This package delivers the exported libdns shared library.


Package: bind9
Version: 1:9.18.19-1~deb12u1
Priority: optional
Section: net
Maintainer: Debian DNS Team <team+dns@tracker.debian.org>
Installed-Size: 1.159 kB
Pre-Depends: init-system-helpers (>= 1.54~)
Depends: adduser, bind9-libs (= 1:9.18.19-1~deb12u1), bind9-utils (= 1:9.18.19-1~deb12u1), debconf | debconf-2.0, dns-root-data, iproute2,
lsb-base (>= 3.2-14), netbase, libc6 (>= 2.34), libcap2 (>= 1:2.10),
libfstrm0 (>= 0.2.0), libjson-c5 (>= 0.15), liblmdb0 (>= 0.9.7),
libmaxminddb0 (>= 1.3.0), libnghttp2-14 (>= 1.3.0), libprotobuf-c1 (>=
1.0.0), libssl3 (>= 3.0.0), libsystemd0, libuv1 (>= 1.40.0), libxml2

= 2.7.4), zlib1g (>= 1:1.1.4)

Suggests: bind-doc, dnsutils, resolvconf, ufw
Breaks: bind (<< 1:9.13.6~)
Replaces: bind (<< 1:9.13.6~)
Homepage: https://www.isc.org/downloads/bind/
Download-Size: 494 kB
APT-Sources: http://security.debian.org/debian-security
bookworm-security/main amd64 Packages
Description: Internet Domain Name Server
The Berkeley Internet Name Domain (BIND 9) implements an Internet domain
name server. BIND 9 is the most widely-used name server software on the
Internet, and is supported by the Internet Software Consortium, www.isc.org.
.
This package provides the server and related configuration files.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El mié, 25-10-2023 a las 13:53 +0200, Usuario Lista escribió:

Buenas.

Revisando las vulnerabilidades me he topado con esta que es bastante
antigua y no entiendo muy bien porque no se ha actualizado.

Según los trackers de Debian lleva corregido desde hace más de dos
años:

https://security-tracker.debian.org/tracker/CVE-2021-25216

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=987743

Estoy utilizando Wazuh como SIEM y me detecta esta vulnerabilidad en
los servidores Debian. Resulta que tengo instalado en estos equipos
la
versión de bind9 actualizada y parcheada, pero no tengo actualizado
ninguno de estos paquetes:
libdns-export1104
libisc-export1100

Esos paquetes libdns-export* y libisc-export* no me aparecen en los repositorios de Debian de mi sistema, que son los oficiales.

$ apt search libisc-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$apt search libdns-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$ dpkg -l|grep libdns
$ dpkg -l|grep libisc
$

Os paso la información del paquete instalado y del bind9

Os ocurre a vosotros lo mismo????
No encuentro la forma de parchear esos paquetes o si incluso los
puedo eliminar.

Pues a mi no. Ya te digo que no aparecen en los repositorios y menos en
el sistema. Intenta eliminarlos con apt a ver si se queja algún
paquete. Puede que uses algún repositorio no oficial y vengan de ahí.

Un saludo

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El 2023-10-25 a las 14:46 +0200, Julio Herrero escribió:

No sé qué pasa a Gmail pero no he recibido el correo de Usaurios Lista
:-?

El mié, 25-10-2023 a las 13:53 +0200, Usuario Lista escribió:

Buenas.

Revisando las vulnerabilidades me he topado con esta que es bastante antigua y no entiendo muy bien porque no se ha actualizado.

Según los trackers de Debian lleva corregido desde hace más de dos
años:

https://security-tracker.debian.org/tracker/CVE-2021-25216

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=987743

El paquete que lo corrige es Bind, no las bibliotecas.

Estoy utilizando Wazuh como SIEM y me detecta esta vulnerabilidad en
los servidores Debian. Resulta que tengo instalado en estos equipos
la
versión de bind9 actualizada y parcheada, pero no tengo actualizado ninguno de estos paquetes:
libdns-export1104
libisc-export1100

Podría tratarse de un falso positivo o de otra vulnerabilidad.
Teniendo en cuenta que Debian trocea mucho los paquetes, quizá las aplicaciones detectan las bibliotecas y piensan que Bind no está
parcheado cuando realmente no es así.

https://security-tracker.debian.org/tracker/CVE-2023-3341

De todas formas, Buster ya no tiene soporte de seguridad, no conviene
tenerlo instalado en servidores públicos en producción.

Esos paquetes libdns-export* y libisc-export* no me aparecen en los repositorios de Debian de mi sistema, que son los oficiales.

$ apt search libisc-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$apt search libdns-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$ dpkg -l|grep libdns
$ dpkg -l|grep libisc
$

Están... son de Debian Buster.

https://packages.debian.org/buster/libdns-export1104 https://packages.debian.org/buster/libisc-export1100

Os paso la información del paquete instalado y del bind9

Os ocurre a vosotros lo mismo????
No encuentro la forma de parchear esos paquetes o si incluso los
puedo eliminar.

A ver, si los tienes instalados será por algo. Si no por necesidad
directa sí por alguna dependencia, ya que son paquetes de bibliotecas.
No los elimines sin asegurarte antes de que no vas a romper algo.

Pues a mi no. Ya te digo que no aparecen en los repositorios y menos en
el sistema. Intenta eliminarlos con apt a ver si se queja algún
paquete. Puede que uses algún repositorio no oficial y vengan de ahí.

Saludos,

--
Camaleón

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El mié, 25-10-2023 a las 15:43 +0200, Camaleón escribió:

El 2023-10-25 a las 14:46 +0200, Julio Herrero escribió:

Esos paquetes libdns-export* y libisc-export* no me aparecen en los repositorios de Debian de mi sistema, que son los oficiales.

$ apt search libisc-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$apt search libdns-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$ dpkg -l|grep libdns
$ dpkg -l|grep libisc
$

Están... son de Debian Buster.

https://packages.debian.org/buster/libdns-export1104 https://packages.debian.org/buster/libisc-export1100

Efectivamente, me di cuenta después de mandar el correo. Son de
versiones anteriores a la estable actual de Debian.

De todos modos, la versión de bind9 que indica el Op se corresponde con
la actual estable, bookworm, por lo que supongo que esas librerías
serán algún resto de alguna actualización. Si es así se pueden eliminar esas y otros posibles restos. Con apt autoremove --purge se eliminarán
esos restos.

Un saludo

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Nada.
El sistema me dice que no tiene nada que limpiar.

Estoy por escribir en la lista de Wazuh y ver si es algo del SIEM.

Gracias.


El mié, 25 oct 2023 a las 16:31, Listas (<envios@jherrero.org>) escribió:

El mié, 25-10-2023 a las 15:43 +0200, Camaleón escribió:

El 2023-10-25 a las 14:46 +0200, Julio Herrero escribió:

Esos paquetes libdns-export* y libisc-export* no me aparecen en los repositorios de Debian de mi sistema, que son los oficiales.

$ apt search libisc-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$apt search libdns-export
Ordenando... Hecho
Buscar en todo el texto... Hecho
$
$ dpkg -l|grep libdns
$ dpkg -l|grep libisc
$

Están... son de Debian Buster.

https://packages.debian.org/buster/libdns-export1104 https://packages.debian.org/buster/libisc-export1100

Efectivamente, me di cuenta después de mandar el correo. Son de
versiones anteriores a la estable actual de Debian.

De todos modos, la versión de bind9 que indica el Op se corresponde con
la actual estable, bookworm, por lo que supongo que esas librerías
serán algún resto de alguna actualización. Si es así se pueden eliminar esas y otros posibles restos. Con apt autoremove --purge se eliminarán
esos restos.

Un saludo

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El jue, 26-10-2023 a las 13:56 +0200, Usuario Lista escribió:

Nada.
El sistema me dice que no tiene nada que limpiar.

Estoy por escribir en la lista de Wazuh y ver si es algo del SIEM.

De todos modos, si estás en boockworm, puedes probar a hacer un apt
remove sobre esas librerias antiguas y eliminarlas.

Un saludo

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El 2023-10-26 a las 16:49 +0200, Listas escribió:

El jue, 26-10-2023 a las 13:56 +0200, Usuario Lista escribió:

Nada.
El sistema me dice que no tiene nada que limpiar.

Estoy por escribir en la lista de Wazuh y ver si es algo del SIEM.

How to surpress false positives for debian-security packages? https://groups.google.com/g/wazuh/c/yD2wGnkdrwY/m/hXy_d-4WBAAJ

De todos modos, si estás en boockworm, puedes probar a hacer un apt
remove sobre esas librerias antiguas y eliminarlas.

Antes de eliminar, mejor que verifique las dependecias inversas de los
paquetes con «rdpends» o similar.

Saludos,

--
Camaleón

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)