bind-9.3.3-10.5AXS3
エラータID: AXSA:2009-15:01
以下項目について対処しました。
[Security Fix]
- BINDのOpenSSL DSA_verify()関数からの返り値をチェックしていないバグが発見されました。リモートの攻撃者は、不正なSSL/TLS署名を用いて、認証の正当性検証を迂回させる可能性があります。
(CVE-2009-0025)
パッケージをアップデートしてください。
BIND 9.6.0, 9.5.1, 9.5.0, 9.4.3, and earlier does not properly check the return value from the OpenSSL DSA_verify function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature, a similar vulnerability to CVE-2008-5077.
bind-9.3.3-10.4AXS3 よりも前のバージョンからアップデートを適用する場合、以下3点の注意点が存在します。
####################################################################################
<strong>注意1.</strong>
<font color=red><strong>bind-9.3.3-10.4AXS3 以降のバージョンでは、クエリソースポートのランダム化設定をしていない場合 /var/log/messages に警告メッセージ「using specific query-source port suppresses port randomization and can be insecure.」が出力されるようになりました。bindを運用している方はご注意ください。</strong></font>
bind-9.3.3-10.4AXS3 以降のバージョンでは、セキュリティフィックスとしてクエリソースポートのランダム化機能を追加していますが、機能を有効にするには bind の設定ファイルにて、ランダムなUDPソースポートを使用し、固定されたクエリソースポートを使用しないよう設定されている必要があります。
<font color=red><strong>
アップデート後に既存の named.caching-nameserver.conf や named.conf などの設定ファイル を継続して使用する場合には、以下2行を削除してランダムなUDPソースポートが使用される設定にした上でご使用ください。
> query-source port 53;
> query-source-v6 port 53;
</strong></font>
<strong>注意2.(Asianux Server 3 for x86_64 環境のみ)</strong>
アップデートでは i386 版の bind-devel パッケージのインストールが必要になりますが、 axtu によりアップデートを行った場合、ご使用の環境により、自動でインストールされない場合がございます。
アップデート完了後に i386 版の bind-devel パッケージが存在するか以下手順(1)に従い確認し、存在しない場合には以下手順(2)に従い i386 版の bind-devel パッケージをインストールしてください。
<strong>(1)</strong>
【i386 版の bind-devel パッケージの存在確認】
以下コマンドを実行して「bind-devel-xxxxxxxx.i386」(xxxは任意のバージョン番号)と出力された場合は i386 版の bind-devel パッケージが存在しています。
存在しない場合には特に文字は表示されません。
<strong>
# rpm -qa --qf %{NAME}"-"%{VERSION}"-"%{RELEASE}"."%{ARCH}"\\n"|grep "bind-devel.*i386"
</strong>
<strong>(2)</strong>
【i386 版の bind-devel パッケージのインストール】
i386 版の bind-devel パッケージが存在しない場合には以下手順を実行してインストールしてください。
1.「Asianux TSN Updater」を起動します
2.「INSTALL」を選択します
3.以下情報に一致する「bind-devel」にチェックを入れ、インストールを実行します。
パッケージ名 バージョン リリース アーキテクチャ
bind-devel 9.3.3 10.5AXS3 i386
<strong>注意3.</strong>
今回のアップデートより bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)は不要となります。
bind-libbind-devel-xxxxxxxxAX(xxxは任意のバージョン番号)、bind-sdb-xxxxxxxxAX(xxxは任意のバージョン番号)が存在するか以下手順(1)に従いそれぞれ確認し、存在する環境では以下手順(2)に従い削除してください。
<strong>(1)</strong>
【bind-libbind-devel パッケージの存在確認】<strong>
# rpm -qa|grep bind-libbind-devel
</strong>
【bind-sdb パッケージの存在確認】<strong>
# rpm -qa|grep bind-sdb
</strong>
<strong>(2)</strong>
【bind-libbind-devel パッケージの削除】<strong>
# rpm -e bind-libbind-devel
</strong>
【bind-sdb パッケージの削除】<strong>
# rpm -e bind-sdb
</strong>
<strong>
注意2,3の作業が正しく完了している場合には、以下コマンドを実行した場合に以下実行結果が表示されます。
</strong>
【Asianux Server 3 for x86 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}\\n"|egrep '^bind|^caching'|sort
############# 実行結果 #############
bind-xxxxxxxxAXS3-i386
bind-chroot-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-i386
bind-utils-xxxxxxxxAXS3-i386
caching-nameserver-xxxxxxxxAXS3-i386
####################################
(xxxは任意のバージョン番号)
【Asianux Server 3 for x86_64 環境の場合】
# rpm -qa --qf "%{NAME}-%{VERSION}-%{RELEASE}-%{ARCH}\\n"|egrep '^bind|^caching'|sort
############# 実行結果 #############
bind-xxxxxxxxAXS3-x86_64
bind-chroot-xxxxxxxxAXS3-x86_64
bind-devel-xxxxxxxxAXS3-i386
bind-devel-xxxxxxxxAXS3-x86_64
bind-libs-xxxxxxxxAXS3-i386
bind-libs-xxxxxxxxAXS3-x86_64
bind-utils-xxxxxxxxAXS3-x86_64
caching-nameserver-xxxxxxxxAXS3-x86_64
####################################
(xxxは任意のバージョン番号)
SRPMS
- bind-9.3.3-10.5AXS3.src.rpm
MD5: c5349e4dbf8a1554b5cca94f097b7e78
SHA-256: 2fa80f4615b447380b086d5b8940d3ada182d8f47cd823584a151d546ba8837c
Size: 5.24 MB
Asianux Server 3 for x86
- bind-9.3.3-10.5AXS3.i386.rpm
MD5: e4adbce7c577ad9bbc37a2d18aa13b2e
SHA-256: 415538e23923f3ed0fe9c261b5fdee8e46458b40a3c252fdc9ad952ac70f3295
Size: 958.38 kB - bind-chroot-9.3.3-10.5AXS3.i386.rpm
MD5: 80f088f2864eb9eea1a02cf974ec4f78
SHA-256: d0da6be22a84f9672f754f1a714112b5f6a7e9764259b3504b210d7525536653
Size: 40.65 kB - bind-devel-9.3.3-10.5AXS3.i386.rpm
MD5: ebd16952e7211f9dac62768c29a82aee
SHA-256: 7f42e430c537e5eb37bb6cbf6675e0d01fa0262d66e73be5e96aa10c74df9d10
Size: 2.56 MB - bind-libs-9.3.3-10.5AXS3.i386.rpm
MD5: 69c962e6e58c967d0f8ccc68e6442a32
SHA-256: 5c4ae67365e01bc47e29484d80abbb588dbc63ca5041cd886151e790213f5e6d
Size: 837.68 kB - bind-utils-9.3.3-10.5AXS3.i386.rpm
MD5: 7739bf35cd2afafe94b9d1a65e987bc2
SHA-256: fafbe3e38299e1d8cc4317a2a6460db87751739e303ddace9c66cd969436a91b
Size: 162.95 kB - caching-nameserver-9.3.3-10.5AXS3.i386.rpm
MD5: de69a32651d53d600ed6624fc0297592
SHA-256: 75f13a0e1283c991a11201d5c17657cc86c234e482b0bcee0062ac49da14177e
Size: 57.36 kB
Asianux Server 3 for x86_64
- bind-9.3.3-10.5AXS3.x86_64.rpm
MD5: 517b974049d80c112044d58e0299b8d4
SHA-256: 8dad43337b23c6f7ec88b5b21162e904b3be5cb64a3685a3ff13ae32a217e7d9
Size: 965.58 kB - bind-chroot-9.3.3-10.5AXS3.x86_64.rpm
MD5: 47ea80178d6970fa85852866eaa384dc
SHA-256: 46e203d7f97d7b9bb43ddb390ac2115b865ba29b408f0cdfe5e67c8f1d65cc3f
Size: 40.62 kB - bind-devel-9.3.3-10.5AXS3.x86_64.rpm
MD5: 9f737dd2d42f0573886bdbf43f88b639
SHA-256: 4fc2ba0d0ced661ccb69463d98cb32b5afedc5f166e5f9e408ca19f17f45cd5d
Size: 2.59 MB - bind-libs-9.3.3-10.5AXS3.x86_64.rpm
MD5: 7493d3fa3dff11968b5fceb22fa26071
SHA-256: 34e9c1c79d29f2f8183035ad98798241113e81b21294546a3ebdfd5afa31539b
Size: 865.87 kB - bind-utils-9.3.3-10.5AXS3.x86_64.rpm
MD5: 316c9aae939e1f45fe6d055b1e226f69
SHA-256: f729e3a323e9775e14bc5f9ab829fbf56d85501c00fd516882af1738235fb9b9
Size: 167.92 kB - caching-nameserver-9.3.3-10.5AXS3.x86_64.rpm
MD5: 7f733cb50a0059260bf5bde94a0cf9ea
SHA-256: 0e1416c62ca79a5e48a7676f5dff675ed3403f31119156004ca78da1fa07ef7c
Size: 57.40 kB