bind-9.8.2-0.10.rc1.AXS4

以下項目について対処しました。

[Security Fix]

- ISC BIND 9 の リゾルバは A レコードのクエリへの応答の処理中に，NS レコードのサーバ名と TTL の値を上書きしてしまい， "ghost domain names" (幽霊ドメイン名) 攻撃によって，リモートの攻撃者が削除されたドメイン名を継続して解決可能にする脆弱性があります。(CVE-2012-1033)

- ISC BIND は RDATA セクションの長さが 0 の値を持ったリソースレコードを適切に処理しておらず，巧妙に細工されたレコードによって，リモートの DNS サーバがサービス拒否 (デーモンのクラッシュあるいはデータ破壊) を引き起こしたり，あるいはプロセスメモリから機密情報を取得する脆弱性があります。(CVE-2012-1667)

[Bug Fix]

- アップストリームの 9.8.2 にアップグレードしました。

- /etc/resolv.conf に再帰禁止のネームサーバが含まれている場合，nslookup が特定のホスト名を解決できない問題を修正しました。

- DNSSEC トラストアンカーの自動アップデートの際に生じるエラーを正確に処理できず，named が終了の際に無反応になってしまう問題を修正しました。

- DNSSEC で署名された NXDOMAIN のレスポンスの検証の際に競合状態が生じ，named が突然終了してしまう問題を修正しました。

- named がマスターサーバとして設定されている場合，incompressible zone への転送に失敗し，次のようなログを出力する問題を修正しました。
transfer of './IN': sending zone data: ran out of space

- DNS ゾーン転送の際に，named が突然アサーションの失敗で終了してしまう問題を修正しました。

- rndc.key ファイルが "rndc-confgen -a" コマンドでインストールの際に生成されなくなったせいで，bind のインストールの際にハングしてしまう問題を修正しました。

- "rndc reload" コマンドが実行された後で，次のログを出力して DNSSEC トラストアンカーのアップデートに失敗する問題を修正しました。
managed-keys-zone ./IN: Failed to create fetch for DNSKEY update

- bind-chroot パッケージが /dev/null デバイスを作成せず，bind パッケージをアンインストールしたのちに空のディレクトリが残ってしまう問題を修正しました。

- dynamic-db プラグインのロードが早すぎるせいで，named.conf ファイルの設定がプラグインで提供される設定を上書きしてしまい，named の起動に失敗してしまう問題を修正しました。

- /var/named ディレクトリがマウントされている場合，/etc/init.d/named initscript が chroot 設定が有効か，chroot が有効でないかを区別しておらず，named デーモンを停止すると，/var/named ディレクトリがいつもマウントされていない問題を修正しました。

- nslookup が答えを返さない場合でも返り値に 0 を返し，エラーコードから成功したか失敗したか決定できない問題を修正しました。

[Enhancement]

- rrset-oder オプションを追加し，リソースレコードをゾーンファイルからロードした順番で返すことができるようになりました。

- エラーメッセージの重大度を減らし，システムログが不必要なメッセージであふれないようにしました。

- 他のサービスと衝突を避けるため，Remote Name Daemon Control (RNDC) ポートを予約するために named が portreserve を使用するようになりました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp