先日明らかにされたセキュリティアラート: CVE-2017-3136/3137/3138
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
対策実施について
原文はこちら
CVE-2017-3136(英文)
https://kb.isc.org/article/AA-01465
CVE-2017-3137(英文)
https://kb.isc.org/article/AA-01466
CVE-2017-3138(英文)
https://kb.isc.org/article/AA-01471
JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/index.html
本件の問題点と対策は以下の通りです。
先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について
原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434
JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html
本件の問題点と対策は以下の通りです。
CentOS5(RHEL5)系の BIND 9.3 と CentOS6(RHEL6)系の BIND 9.7 以上ではインストールファイル構成、動作する時のディレクトリ構成から chroot の動作の仕様が全然違います。
今まで BIND 9.3 に慣れていて、同じつもりで初期設定しようとしたら戸惑います。
CentOS6系の初期状態から運用していて yum update であるとき変わってしまって動かなくなったらしばし呆然とするでしょう。
ここに違いをメモしておきます。
# yum install bind bind-chroot # yum install caching-nameserver
こうなっています。
/etc/named.conf <<< /var/named/chroot/etc/ からシンボリックリンク /etc/named.caching-nameserver.conf <<< /var/named/chroot/etc/ からシンボリックリンク /etc/named.rfc1912.zones <<< /var/named/chroot/etc/ からシンボリックリンク /var/named/named.ca <<< /var/named/chroot/var/named/ からシンボリックリンク /var/named/xxxxxxxxx.zone <<< /var/named/chroot/var/named/ からシンボリックリンク /var/named/chroot/etc/named.conf (新規作成、/etc/named.conf へシンボリックリンク) /var/named/chroot/etc/named.caching-nameserver.conf >>> /etc/ へシンボリックリンク /var/named/chroot/etc/named.rfc1912.zones >>> /etc/ へシンボリックリンク /var/named/chroot/var/named/named.ca >>> /var/named/ へシンボリックリンク /var/named/chroot/var/named/xxxxxxxxx.zone >>> /var/named/ へシンボリックリンク
※BIND 9.7 はシンボリックリンクではなく、モジュール起動時にマウントする仕様に変わっています。
続きを読む