bind-9.3.6-4.P1.1.1AXS3
エラータID: AXSA:2009-425:4
以下項目について対処しました。
[Security Fix]
- ISC BIND には、DNSSEC 検証が有効の場合、DNSSEC OK (DO) ビットの立ったリクエストと同時に checking disabled (CD) ビットの立った再帰クライアントクエリが処理されている場合、再帰クライアントクエリの解決のために送られたレスポンスの addtional section をキャッシュに追加することによって、リモートの攻撃者がキャッシュポイズニング攻撃を行う脆弱性があります。(CVE-2009-4022)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Unspecified vulnerability in ISC BIND 9.0.x through 9.3.x, 9.4 before 9.4.3-P4, 9.5 before 9.5.2-P1, 9.6 before 9.6.1-P2, and 9.7 beta before 9.7.0b3, with DNSSEC validation enabled and checking disabled (CD), allows remote attackers to conduct DNS cache poisoning attacks by receiving a recursive client query and sending a response that contains an Additional section with crafted data, which is not properly handled when the response is processed "at the same time as requesting DNSSEC records (DO)," aka Bug 20438.
bind-9.3.3-10.4AXS3 よりも前のバージョンからアップデートを適用する場合、以下3点の注意点が存在します。
####################################################################################
<font color="red">
注意1.
bind-9.3.3-10.4AXS3 以降のバージョンでは、クエリソースポートのランダム化設定をしていない場合 /var/log/messages に警告メッセージ「using specific query-source port suppresses port randomization and can be insecure.」が出力されるようになりました。bindを運用している方はご注意ください。
</font>
bind-9.3.3-10.4AXS3 以降のバージョンでは、セキュリティフィックスとしてクエリソースポートのランダム化機能を追加していますが、機能を有効にするには bind の設定ファイルにて、ランダムなUDPソースポートを使用し、固定されたクエリソースポートを使用しないよう設定されている必要があります。
<font color="red">
アップデート後に既存の named.caching-nameserver.conf や named.conf などの設定ファイル を継続して使用する場合には、以下2行を削除してランダムなUDPソースポートが使用される設定にした上でご使用ください。
> query-source port 53;
> query-source-v6 port 53;
</font>
注意2.(Asianux Server 3 for x86_64 環境のみ)
アップデートでは i386 版の bind-devel パッケージのインストールが必要になりますが、 axtu によりアップデートを行った場合、ご使用の環境により、自動でインストールされない場合がございます。
アップデート完了後に i386 版の bind-devel パッケージが存在するか以下手順(1)に従い確認し、存在しない場合には以下手順(2)に従い i386 版の bind-devel パッケージをインストールしてください。
(1)
【i386 版の bind-devel パッケージの存在確認】
以下コマンドを実行して「bind-devel-xxxxxxxx.i386」(xxxは任意のバージョン番号)と出力された場合は i386 版の bind-devel パッケージが存在しています。
存在しない場合には特に文字は表示されません。
# rpm -qa --qf %{NAME}"-"%{VERSION}"-"%{RELEASE}"."%{ARCH}"n"|grep "bind-devel.*i386"
(2)
【i386 版の bind-devel パッケージのインストール】
i386 版の bind-devel パッケージが存在しない場合には以下手順を実行してインストールしてください。
1.「Asianux TSN Updater」を起動します
2.「INSTALL」を選択します
3.以下情報に一致する「bind-devel」にチェックを入れ、インストールを実行します。
パッケージ名 バージョン リリース アーキテクチャ
bind-devel 9.3.3 10.5AXS3 i386
注意3.
今回のアップデートより bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)は不要となります。
bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)が存在するか以下手順(1)に従いそれぞれ確認し、存在する環境では以下手順(2)に従い削除してください。
(1)
【bind-libbind-devel パッケージの存在確認】
# rpm -qa|grep bind-libbind-devel
【bind-sdb パッケージの存在確認】
# rpm -qa|grep bind-sdb
(2)
【bind-libbind-devel パッケージの削除】
# rpm -e bind-libbind-devel
【bind-sdb パッケージの削除】
# rpm -e bind-sdb
注意2,3の作業が正しく完了している場合には、以下コマンドを実行した場合に以下実行結果が表示されます。
【Asianux Server 3 for x86 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}n"|egrep '^bind|^caching'|sort
############# 実行結果 #############
bind-xxxxxxxxAXS3-i386
bind-chroot-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-i386
bind-utils-xxxxxxxxAXS3-i386
caching-nameserver-xxxxxxxxAXS3-i386
####################################
(xxxは任意のバージョン番号)
【Asianux Server 3 for x86_64 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}n"|egrep '^bind|^caching'|sort
############# 実行結果 #############
bind-xxxxxxxxAXS3-x86_64
bind-chroot-xxxxxxxxAXS3-x86_64
bind-devel-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-x86_64
bind-libs-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-x86_64
bind-utils-xxxxxxxxAXS3-x86_64
caching-nameserver-xxxxxxxxAXS3-x86_64
####################################
(xxxは任意のバージョン番号)
SRPMS
- bind-9.3.6-4.P1.1.1AXS3.src.rpm
MD5: 90761a460bf51b17fafb503551e9b314
SHA-256: c69e0dd873ce33a2f7fbff6948d88a608aadd719507c79d643b4302748c04c26
Size: 5.58 MB
Asianux Server 3 for x86
- bind-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: 377df7d3decaba2ac09bd6e62653f42b
SHA-256: 5990fe1a607d3baf4a493e59103f84543ce17582d7a8a64b3ba14f7e88698c96
Size: 0.96 MB - bind-chroot-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: eb3037f967990ef7b899835d0e458af7
SHA-256: fc52bd8156d753946f1ef7d5c7edb1d1a3b4f931db57b51f0bcac3740cbb57ba
Size: 44.99 kB - bind-devel-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: 193a5c5b0ec2e6df5a9717f5708ef1f5
SHA-256: aaf1ac9567d7d9b3bffbfc3e78d97624eb221eb4e94d63521dbf1107f6b51bf4
Size: 2.78 MB - bind-libs-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: 4a72967b8dcdf1cc8e17e9d64de65874
SHA-256: 0cdf53bd214df0e91bba5c5759e26b954091dbc9155add1d046a62834b7f4188
Size: 857.51 kB - bind-utils-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: f4902fbe82d9f727dcfd74041f08f445
SHA-256: 137ab2fd4c098650aacba4d7e33d2dd7e9f7e10e6725ff10a2c199adb8ced00d
Size: 170.15 kB - caching-nameserver-9.3.6-4.P1.1.1AXS3.i386.rpm
MD5: eae252713c01b452cece7e670aa5b264
SHA-256: 0a3b30e774317249b9d741b80bf04d38c32015d052556d685228fe0b3c76c4fa
Size: 61.21 kB
Asianux Server 3 for x86_64
- bind-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: f64a61e79e1a85778894625c21bc6662
SHA-256: 2df883d1cbeac75f3781e66cee6018044a1a274441c685dc92cf6cea507da8b7
Size: 0.97 MB - bind-chroot-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: 2a1e4d7a109229c4a59f4dca7257e8d7
SHA-256: 7060d67ce17c84ee35a62610ebd62961b9d70e23b34576bf4a00f9e79f30caa0
Size: 44.96 kB - bind-devel-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: 9a3866d306a7701b38d82707ef85632c
SHA-256: 9ac5cde028e34f726094348cc2e2e8f6e41da33a10e4e2052230ea545c59de62
Size: 2.80 MB - bind-libs-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: c7cbd2fa68e43fa6aac641ca9e091b66
SHA-256: 926f0fc6dc196d9af788685854150d882e0b307d074598b3a97ed53620ade594
Size: 890.60 kB - bind-utils-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: 0de2f822d98ae519d49096ba4f7565e2
SHA-256: ec4e799c1ae5d995e2c943a0764c2a3ba53d159885b385b9a8cdf1a39a914f18
Size: 175.99 kB - caching-nameserver-9.3.6-4.P1.1.1AXS3.x86_64.rpm
MD5: 09fd8e5b1995aa26aa191469a646064d
SHA-256: 9a22373587fb14441b03e3abed3fc94fe6eb7545cb2e9e93f039c15177ee593d
Size: 61.17 kB