まだまだ終わらせない!
脆弱性ラーッシュ!
ま
脆弱性なんて毎日報告されているので
いい加減慣れてきましたが、
対象がBindなのでなおさらです。
今回の問題は、名前解決のパフォーマンス向上を目的に、
キャッシュ済みのリソースレコードをキャッシュの満了前に自動的に再検索する
先読みのような機能「プリフェッチ(prefetch)」という機能の脆弱性。
RedHat等配布のRPMはまだ新しく提供されたばっかりなので
対象サーバは少ないかもしれませんが
サービス停止は中々穏やかではないので、指示にある対応を実施しましょう。
- 影響範囲
- 回避策
対応①
本脆弱性を修正したパッチバージョン(BIND 9.10.0-P1)への更新
対応②
一時的回避策として、プリフェッチ機能をOFFにする。
# vim named.conf prefetch 0;デフォルトでは有効になっているので取り急ぎは無効にしましょう。
ちなみに、本脆弱性を攻撃された場合下記のようなログが残るそうです。
本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion下記はJPRSの公開情報になります
failureを引き起こした旨のメッセージがログに出力されます。
(緊急)BIND 9.10.0の脆弱性(DNSサービスの停止)について(2014年5月9日公開)
Cricket Liu Paul Albitz
オライリージャパン
売り上げランキング: 184,521
オライリージャパン
売り上げランキング: 184,521
0 コメント:
コメントを投稿