FreeBSD Security Advisory FreeBSD-SA-07:02.bind

久々の SA です。bind9 に対する DoS が成立する脆弱性が複数見つかったようですね。

影響を受けるのは FreeBSD 5.3 以降全て、修正されたのは以下のバージョンだそうです。

  • RELENG_6, 6.2-STABLE (2007-02-07 00:42:09 UTC)
  • RELENG_6_2, 6.2-RELEASE-p1 (2007-02-09 20:24:15 UTC)
  • RELENG_6_1, 6.1-RELEASE-p13 (2007-02-09 20:23:29 UTC)
  • RELENG_5, 5.5-STABLE (2007-02-07 00:46:35 UTC)
  • RELENG_5_5, 5.5-RELEASE-p11 (2007-02-09 20:22:44 UTC)

回避策に関しては

There is no workaround available, but systems which are not authoritative
servers for DNSSEC signed zones are not affected by the first issue; and
systems which do not permit untrusted users to perform recursive DNS
resolution are not affected by the second issue. Note that the default
configuration for named(8) in FreeBSD allows local access only (which on
many systems is equivalent to refusing access to untrusted users).

ということで、公開 DNS サーバに関しては早々に対応した方が良さそうです。

そういえば一昨日、CentOS 4.4 のマシンで yum update したら bind 関連のパッケージが更新されていましたが、この対応だったんですね。