Recommended update for bind

Announcement ID:	SUSE-RU-2020:2915-1
Rating:	moderate
References:	bsc#1092283 bsc#1094236 bsc#1127583 bsc#1173983 bsc#1175443
Cross-References:	CVE-2020-8622 CVE-2020-8623 CVE-2020-8624
CVSS scores:	CVE-2020-8622 ( SUSE ): 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVE-2020-8622 ( NVD ): 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVE-2020-8623 ( SUSE ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2020-8623 ( NVD ): 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2020-8624 ( SUSE ): 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2020-8624 ( NVD ): 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Affected Products:	SUSE Linux Enterprise High Performance Computing 12 SP4 SUSE Linux Enterprise High Performance Computing 12 SP5 SUSE Linux Enterprise Server 12 SP4 SUSE Linux Enterprise Server 12 SP4 ESPOS 12-SP4 SUSE Linux Enterprise Server 12 SP4 LTSS 12-SP4 SUSE Linux Enterprise Server 12 SP5 SUSE Linux Enterprise Server for SAP Applications 12 SP4 SUSE Linux Enterprise Server for SAP Applications 12 SP5 SUSE Linux Enterprise Software Development Kit 12 SP5 SUSE OpenStack Cloud 9 SUSE OpenStack Cloud Crowbar 9

An update that solves three vulnerabilities and has two fixes can now be installed.

Description:

This update for bind fixes the following issues:

Bind was updated to version 9.11.22

Note:

• bind is now more strict in regards to DNSSEC. If queries are not working, check for DNSSEC issues. For instance, if bind is used in a namserver forwarder chain, the forwarding DNS servers must support DNSSEC.

This upgrade also fixes the following security issues:

• 1. [security] "update-policy" rules of type "subdomain" were incorrectly treated as "zonesub" rules, which allowed keys used in "subdomain" rules to update names outside of the specified subdomains. The problem was fixed by making sure "subdomain" rules are again processed as described in the ARM. (CVE-2020-8624 bsc#1175443)
• 1. [security] When BIND 9 was compiled with native PKCS#11 support, it was possible to trigger an assertion failure in code determining the number of bits in the PKCS#11 RSA public key with a specially crafted packet. (CVE-2020-8623 bsc#1175443)
• 1. [security] It was possible to trigger an assertion failure when verifying the response to a TSIG-signed request. (CVE-2020-8622 bsc#1175443)

• Suppress warning message about missing file. (bsc#1092283, bsc#1127583, bsc#1094236, bsc#1173983) Added /etc/bind.keys to NAMED_CONF_INCLUDE_FILES in /etc/sysconfig/named.

Patch Instructions:

To install this SUSE update use the SUSE recommended installation methods like YaST online_update or "zypper patch".
Alternatively you can run the command listed for your product:

• SUSE OpenStack Cloud 9
  zypper in -t patch SUSE-OpenStack-Cloud-9-2020-2915=1
• SUSE OpenStack Cloud Crowbar 9
  zypper in -t patch SUSE-OpenStack-Cloud-Crowbar-9-2020-2915=1
• SUSE Linux Enterprise Server for SAP Applications 12 SP4
  zypper in -t patch SUSE-SLE-SAP-12-SP4-2020-2915=1
• SUSE Linux Enterprise Software Development Kit 12 SP5
  zypper in -t patch SUSE-SLE-SDK-12-SP5-2020-2915=1
• SUSE Linux Enterprise Server 12 SP4 ESPOS 12-SP4
  zypper in -t patch SUSE-SLE-SERVER-12-SP4-ESPOS-2020-2915=1
• SUSE Linux Enterprise Server 12 SP4 LTSS 12-SP4
  zypper in -t patch SUSE-SLE-SERVER-12-SP4-LTSS-2020-2915=1
• SUSE Linux Enterprise High Performance Computing 12 SP5
  zypper in -t patch SUSE-SLE-SERVER-12-SP5-2020-2915=1
• SUSE Linux Enterprise Server 12 SP5
  zypper in -t patch SUSE-SLE-SERVER-12-SP5-2020-2915=1
• SUSE Linux Enterprise Server for SAP Applications 12 SP5
  zypper in -t patch SUSE-SLE-SERVER-12-SP5-2020-2915=1

Package List:

• SUSE OpenStack Cloud 9 (x86_64)
  • libisccc161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libisc1107-32bit-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libdns1110-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE OpenStack Cloud 9 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE OpenStack Cloud Crowbar 9 (x86_64)
  • libisccc161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libisc1107-32bit-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libdns1110-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE OpenStack Cloud Crowbar 9 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP4 (ppc64le x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP4 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP4 (x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE Linux Enterprise Software Development Kit 12 SP5 (aarch64 ppc64le s390x x86_64)
  • bind-debuginfo-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-devel-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 ESPOS 12-SP4 (aarch64 x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 ESPOS 12-SP4 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 ESPOS 12-SP4 (x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 LTSS 12-SP4 (aarch64 ppc64le s390x x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 LTSS 12-SP4 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP4 LTSS 12-SP4 (s390x x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE Linux Enterprise High Performance Computing 12 SP5 (aarch64 x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise High Performance Computing 12 SP5 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise High Performance Computing 12 SP5 (x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP5 (aarch64 ppc64le s390x x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP5 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server 12 SP5 (s390x x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP5 (ppc64le x86_64)
  • libdns1110-9.11.22-3.22.1
  • libisccfg163-debuginfo-9.11.22-3.22.1
  • bind-chrootenv-9.11.22-3.22.1
  • libisccc161-9.11.22-3.22.1
  • liblwres161-9.11.22-3.22.1
  • bind-debuginfo-9.11.22-3.22.1
  • libisccc161-debuginfo-9.11.22-3.22.1
  • liblwres161-debuginfo-9.11.22-3.22.1
  • libisccfg163-9.11.22-3.22.1
  • libirs161-debuginfo-9.11.22-3.22.1
  • libbind9-161-debuginfo-9.11.22-3.22.1
  • libisc1107-debuginfo-9.11.22-3.22.1
  • libdns1110-debuginfo-9.11.22-3.22.1
  • libbind9-161-9.11.22-3.22.1
  • libisc1107-9.11.22-3.22.1
  • bind-9.11.22-3.22.1
  • bind-utils-9.11.22-3.22.1
  • bind-debugsource-9.11.22-3.22.1
  • bind-utils-debuginfo-9.11.22-3.22.1
  • libirs161-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP5 (noarch)
  • python-bind-9.11.22-3.22.1
  • bind-doc-9.11.22-3.22.1
• SUSE Linux Enterprise Server for SAP Applications 12 SP5 (x86_64)
  • libisc1107-32bit-9.11.22-3.22.1
  • libisc1107-debuginfo-32bit-9.11.22-3.22.1

References:

• https://www.suse.com/security/cve/CVE-2020-8622.html
• https://www.suse.com/security/cve/CVE-2020-8623.html
• https://www.suse.com/security/cve/CVE-2020-8624.html
• https://bugzilla.suse.com/show_bug.cgi?id=1092283
• https://bugzilla.suse.com/show_bug.cgi?id=1094236
• https://bugzilla.suse.com/show_bug.cgi?id=1127583
• https://bugzilla.suse.com/show_bug.cgi?id=1173983
• https://bugzilla.suse.com/show_bug.cgi?id=1175443