_ かねてからプレスリリースされていたサービスが本日開始ですよっ、ということでお祭り。
_ ……という予定だったのが、空気を読まない BIND9 の穴のせいで、アップデート祭。プロセスが落ちるだけで危険なコードの注入ができるわけじゃないみたいだけど、落ちるだけでも十分以上に迷惑なんで対処しないわけにいかない。つーわけで入れ替えるわけだが、もうひとり DNS のサーバのめんどうを見てる人が病弱でぶったおれそうだったので戦力にならず。プログラムだけでなく人間まで脆弱性が。
_ それにしても毎度のことながら、ISC から出される情報は慎重に読まないと危険度を過少評価しかねない表現だな。たしかに事実をそのとおり書いてあるんだけど、「うち関係ねーな」と無視しちゃう素人管理者がいっぱいいそう。ふだんは「新しいの出したよー」というアナウンスを出すだけで、何か新しい機能が追加されたのかと思って修正点をよく読んでみてはじめてセキュリティ修正だったというのがわかる、というのがほとんどなので、今回はこれでもまだわかりやすい方なんだけど。
JPRS のアナウンスはこのへんのことがある程度フォローされてるのでありがたいね。
- Dynamic Update DoS と謳っていて、たしかに動的更新の部分に穴があるんだけど、この機能を使ってなくても影響がある。
- master ゾーンを持っている場合のみ影響あり、となってるけど、キャッシュ専用サーバや slave 専用サーバでも localhost やら 0.0.127.in-addr.arpa やらのゾーンに関しては master としてゾーンを持ってるのはあたりまえなので影響あり。
- ISC のページには 9.4 以降のバージョンしか置いてないけど、9.3 以前が安全かというとそうではなく、サポートが切り捨てられてるだけで穴あり。
_ acl では防げないということなので、まったく自前ゾーンを持たないかなり特殊な設定になっているか、グローバル空間に足を持っていないイントラのみのサーバでもないかぎり、要するに世間の BIND9 のほとんどは穴ありということだ。アップデート以外にも iptables でふさぐ方法も出てるし、IPS でうまいことシグネチャを書くことでも対処できそうだけど、まあちゃんと入れ替えた方が無難だわな。
_ で、今日はじまったサービスの方のお祭りはどうなったんだっけ? ぜんぜん把握できてないんだけど。まあ、やるべきことは済んでるので BIND 祭りがなかったとしてもただ眺めてるだけしかすることはないんだけど。どうせ祭なら見てるより踊った方がいいよね……ってカンベンしてください。