OSX Security UpdateのBIND不具合 - MONO*LOG

OSX Security UpdateのBIND不具合

Apple Security Update 2009-002 を Leopard に適用してしばらくして、当サイトを含む複数のサイトドメインが引けなくなってしまい、サーバ自身も外部の名前解決ができなくなってしまった。
原因は、Security Updateに含まれるBINDのバージョンアップ。

* BIND

CVE-ID:CVE-2009-0025
対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5 ~ v10.5.6、Mac OS X Server v10.5 ~ v10.5.6
影響:BIND が DNSSEC を使用するように設定されていると、スプーフィング攻撃の影響を受ける。
説明:BIND で OpenSSL DSA_do_verify 関数の戻り値をチェックする方法が誤っています。DNSSEC (DNS Security Extension) プロトコルを使用するシステム上では、悪意を持って作成された DSA 証明書が検証を回避する可能性があるため、スプーフィング攻撃を受ける可能性があります。DNSSEC は、デフォルトでは有効化されていません。このアップデートでは、BIND をバージョン 9.3.6-P1 (Mac OS X v10.4 の場合)、および 9.4.3-P1 (Mac OS X v10.5 の場合) にアップデートすることで、問題を解消しています。詳細については、ISC の Web サイト ( https://www.isc.org/ ) を参照してください。


SYSLOG (/var/log/system.log) には以下のエラーログが記録されていた。
"could not get query source dispatcher (0.0.0.0#53)"

/etc/named.conf にて指定していた「query-source port 53;」エントリをコメントアウトすることで復旧した。

参考:http://oldwww.isc.org/sw/bind/view/?release=9.4.3-P1&noframes=1

コメントする

アーカイブ