bind-9.3.6-4.P1.3.0.1.AXS3

エラータID: AXSA:2010-508:02

リリース日: 
2010/12/15 Wednesday - 21:11
題名: 
bind-9.3.6-4.P1.3.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- BIND の named はキャッシュの否定応答とそれに対応するキャッシュの RRSIG レコードを適切に処理できず, キャッシュされたデータのクエリによって, リモートの攻撃者がサービス拒否 (デーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2010-3613)

- BIND の named は DNSKEY アルゴリズムのロールオーバ中に NS RRset のセキュリティステータスを適切に判定できず, ロールオーバをきっかけとして, リモートの攻撃者がサービス拒否 (DNSSEC 検証エラー) を引き起こす脆弱性があります。(CVE-2010-3614)

- ISC BIND は DNSSEC 検証が有効になっている場合, 複数のトラストアンカーが単一のゾーンのために存在している場合, 不正なシグネチャを適切に処理できず, DNS クエリによってリモートの攻撃者がサービス拒否 (デーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2010-3762)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2010-3613
named in ISC BIND 9.6.2 before 9.6.2-P3, 9.6-ESV before 9.6-ESV-R3, and 9.7.x before 9.7.2-P3 does not properly handle the combination of signed negative responses and corresponding RRSIG records in the cache, which allows remote attackers to cause a denial of service (daemon crash) via a query for cached data.
CVE-2010-3614
named in ISC BIND 9.x before 9.6.2-P3, 9.7.x before 9.7.2-P3, 9.4-ESV before 9.4-ESV-R4, and 9.6-ESV before 9.6-ESV-R3 does not properly determine the security status of an NS RRset during a DNSKEY algorithm rollover, which might allow remote attackers to cause a denial of service (DNSSEC validation error) by triggering a rollover.
CVE-2010-3762
ISC BIND before 9.7.2-P2, when DNSSEC validation is enabled, does not properly handle certain bad signatures if multiple trust anchors exist for a single zone, which allows remote attackers to cause a denial of service (daemon crash) via a DNS query.




追加情報: 

bind-9.3.3-10.4AXS3 よりも前のバージョンからアップデートを適用する場合、以下3点の注意点が存在します。
####################################################################################

<font color="red">注意1.
bind-9.3.3-10.4AXS3 以降のバージョンでは、クエリソースポートのランダム化設定をしていない場合 /var/log/messages に警告メッセージ「using specific query-source port suppresses port randomization and can be insecure.」が出力されるようになりました。bindを運用している方はご注意ください。</font>

bind-9.3.3-10.4AXS3 以降のバージョンでは、セキュリティフィックスとしてクエリソースポートのランダム化機能を追加していますが、機能を有効にするには bind の設定ファイルにて、ランダムなUDPソースポートを使用し、固定されたクエリソースポートを使用しないよう設定されている必要があります。

<font color="red">
アップデート後に既存の named.caching-nameserver.conf や named.conf などの設定ファイル を継続して使用する場合には、以下2行を削除してランダムなUDPソースポートが使用される設定にした上でご使用ください。
> query-source port 53;
> query-source-v6 port 53;
</font>

注意2.(Asianux Server 3 for x86_64 環境のみ)
アップデートでは i386 版の bind-devel パッケージのインストールが必要になりますが、 axtu によりアップデートを行った場合、ご使用の環境により、自動でインストールされない場合がございます。
アップデート完了後に i386 版の bind-devel パッケージが存在するか以下手順(1)に従い確認し、存在しない場合には以下手順(2)に従い i386 版の bind-devel パッケージをインストールしてください。

(1)
【i386 版の bind-devel パッケージの存在確認】
以下コマンドを実行して「bind-devel-xxxxxxxx.i386」(xxxは任意のバージョン番号)と出力された場合は i386 版の bind-devel パッケージが存在しています。
存在しない場合には特に文字は表示されません。

# rpm -qa --qf %{NAME}"-"%{VERSION}"-"%{RELEASE}"."%{ARCH}"n"|grep "bind-devel.*i386"

(2)
【i386 版の bind-devel パッケージのインストール】

i386 版の bind-devel パッケージが存在しない場合には以下手順を実行してインストールしてください。
1.「Asianux TSN Updater」を起動します
2.「INSTALL」を選択します
3.以下情報に一致する「bind-devel」にチェックを入れ、インストールを実行します。
パッケージ名 バージョン リリース アーキテクチャ
bind-devel 9.3.3 10.5AXS3 i386

注意3.

bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)は不要となりました。
bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)が存在するか以下手順(1)に従いそれぞれ確認し、存在する環境では以下手順(2)に従い削除してください。

(1)
【bind-libbind-devel パッケージの存在確認】
# rpm -qa|grep bind-libbind-devel

【bind-sdb パッケージの存在確認】
# rpm -qa|grep bind-sdb

(2)
【bind-libbind-devel パッケージの削除】
# rpm -e bind-libbind-devel

【bind-sdb パッケージの削除】
# rpm -e bind-sdb

注意2,3の作業が正しく完了している場合には、以下コマンドを実行した場合に以下実行結果が表示されます。

【Asianux Server 3 for x86 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}n"|egrep '^bind|^caching'|sort

############# 実行結果 #############
bind-xxxxxxxxAXS3-i386
bind-chroot-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-i386
bind-utils-xxxxxxxxAXS3-i386
caching-nameserver-xxxxxxxxAXS3-i386
####################################
(xxxは任意のバージョン番号)

【Asianux Server 3 for x86_64 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}n"|egrep '^bind|^caching'|sort

############# 実行結果 #############
bind-xxxxxxxxAXS3-x86_64
bind-chroot-xxxxxxxxAXS3-x86_64
bind-devel-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-x86_64
bind-libs-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-x86_64
bind-utils-xxxxxxxxAXS3-x86_64
caching-nameserver-xxxxxxxxAXS3-x86_64
####################################
(xxxは任意のバージョン番号)

ダウンロード: 

SRPMS
  1. bind-9.3.6-4.P1.3.0.1.AXS3.src.rpm
    MD5: 29cdba4ffe304fbde297df88a36bf714
    SHA-256: 3bf4e97b8fde74aeaaa702bd0a36a8d3ae510b5cf67fc622d318470ce0f4a46d
    Size: 5.58 MB

Asianux Server 3 for x86
  1. bind-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: 2a7c855733835c26c382f6473ef74ac1
    SHA-256: d331885474b6092c74e4e88f54416f190283b201292f4087ef2e610421ac1d45
    Size: 0.96 MB
  2. bind-chroot-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: f937db5dd2a591bf86a6a221fb42cd35
    SHA-256: 5f213400855a231846c71b7ecdc7c94d9324b64b9cd9fbba861b2fff8bfee83f
    Size: 45.45 kB
  3. bind-devel-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: 3489e5ca758f4288b4b7f6c532c89592
    SHA-256: 204d72551d995c055cfe368b7c5dbab3ce8905620aae7c57c0baab30eaa4e757
    Size: 2.78 MB
  4. bind-libs-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: f3081995320028626122dc1fe25164e1
    SHA-256: 581336b9407ddb4f82e93f5990e6cfe18800d3141a817c5e4a3406fb3fb23685
    Size: 858.26 kB
  5. bind-utils-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: c25c717d9e165c06f53239650f0753d9
    SHA-256: 1a1e1862e009bd0702fd9cc2a033b0e827899bcd683654b48c7c5cdf0b76e405
    Size: 170.78 kB
  6. caching-nameserver-9.3.6-4.P1.3.0.1.AXS3.i386.rpm
    MD5: f5cf2a8d0068c9e883e01d21a995945d
    SHA-256: 10cfdc9e1ba264368abb86efc53af40e9e950f0810ff471859b060df1813eeae
    Size: 61.68 kB

Asianux Server 3 for x86_64
  1. bind-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: fdfa53feb9234f5832e681641d3ee296
    SHA-256: b1d4d95f1edda602acd1403b4b36a33958aa1ff590d6d972071e29dc864d5bcd
    Size: 0.97 MB
  2. bind-chroot-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: e966ddbfd2c68718ebac6dc4be79d05b
    SHA-256: 9d2248f8674d61707588a40a7a70d357542bc27039af73c046480865df556e9a
    Size: 45.42 kB
  3. bind-devel-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: 5ec019905aa9f32e5765d5c99d79083e
    SHA-256: f9ee2c72687929b472ead4cd4371be92b7d34a2f5c8280f95664acef41ced105
    Size: 2.80 MB
  4. bind-libs-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: cfeb1e339638c2cbca135a7896905940
    SHA-256: cdecf54dcb6fda71359ea412de4d7fb71eb9fc79c69560a28f6cc2386cbbfe77
    Size: 891.24 kB
  5. bind-utils-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: 86c033f577d80cddb01fdd4cd5f1a996
    SHA-256: 82a2637c36506655b02ee042031ea12eccc0204521d60b629db09d0faecac279
    Size: 176.46 kB
  6. caching-nameserver-9.3.6-4.P1.3.0.1.AXS3.x86_64.rpm
    MD5: 4db234af6ebacdbc5a7060f916287e35
    SHA-256: ffdc5e2b2ae7132b1751fcf935c3f8882162f9aa94c2a3100c2cb7d9e021641b
    Size: 61.64 kB