2009年8月1日土曜日

BIND 9 に脆弱性

今年の夏もBINDに脆弱性が発見されたみたい。

参考
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

確か去年の夏もひと騒ぎあったような気がするが。

ということで、管理しているプライマリーDNSをアップデートします。
手順としては、killコマンドでnamedのプロセスを止め、namedディレクトリをまるごとバックアップします。これは念のため。

使っているBINDのバージョンを調べて、最新のBINDをダウンロード。

# /usr/local/sbin/named -v
BIND 9.6.0-P1
バージョンはBIND 9.6.0-P1なので、最新バージョンのBIND 9.6.1-P1をダウンロード。tarコマンドで展開した後、インストールします。
# wget http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
# tar xvfz bind-9.6.1-P1.tar.gz
# cd bind-9.6.1-P1
# ./configure
# make
# make install
インストールしたらnamedを立ち上げます。
# /usr/local/sbin/named -u named -t /var/named/
立ち上がったらdigコマンドで動作確認。バージョンが9.6.1-P1になっていることも確認できた。

SOAレコード
# dig @localhost google.co.jp soa

; <<>> DiG 9.6.1-P1 <<>> @localhost google.co.jp soa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37582
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.co.jp. IN SOA

;; ANSWER SECTION:
google.co.jp. 86400 IN SOA ns1.google.com. dns-admin.google.com. 1387850 21600 3600 1209600 300

;; AUTHORITY SECTION:
google.co.jp. 345600 IN NS ns1.google.com.
google.co.jp. 345600 IN NS ns2.google.com.
google.co.jp. 345600 IN NS ns4.google.com.
google.co.jp. 345600 IN NS ns3.google.com.

;; ADDITIONAL SECTION:
ns1.google.com. 345542 IN A 216.239.32.10
ns2.google.com. 172742 IN A 216.239.34.10
ns3.google.com. 172742 IN A 216.239.36.10
ns4.google.com. 172742 IN A 216.239.38.10

;; Query time: 46 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Aug 1 03:44:49 2009
;; MSG SIZE rcvd: 222

正引き
# dig @localhost google.co.jp a

; <<>> DiG 9.6.1-P1 <<>> @localhost google.co.jp a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21758
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.co.jp. IN A

;; ANSWER SECTION:
google.co.jp. 1402 IN A 74.125.95.104
google.co.jp. 1402 IN A 72.14.203.104
google.co.jp. 1402 IN A 74.125.91.104

;; AUTHORITY SECTION:
google.co.jp. 345260 IN NS ns1.google.com.
google.co.jp. 345260 IN NS ns4.google.com.
google.co.jp. 345260 IN NS ns3.google.com.
google.co.jp. 345260 IN NS ns2.google.com.

;; ADDITIONAL SECTION:
ns1.google.com. 345202 IN A 216.239.32.10
ns2.google.com. 172402 IN A 216.239.34.10
ns3.google.com. 172402 IN A 216.239.36.10
ns4.google.com. 172402 IN A 216.239.38.10

;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Aug 1 03:50:29 2009
;; MSG SIZE rcvd: 224

逆引き
# dig @localhost -x 192.168.10.1

; <<>> DiG 9.6.1-P1 <<>> @localhost -x 192.168.10.1
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 56849
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.10.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA prisoner.iana.org. hostmaster.root-servers.org. 2002040800 1800 900 604800 604800

;; Query time: 29 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Aug 1 03:48:28 2009
;; MSG SIZE rcvd: 120

問題なく動作していそうです。