ISC BIND 9 にセキュリティホールが発表されてから数日たち、
28日の夜になって、FreeBSDのほうからアップデート情報が届きました。
待ちに待ったセキュリティアップデートです。
前回のセキュリティホールの折に、都合でOSに含まれるBINDをやめて、
Ports側のBINDを使用することにしましたので、portupgradeしましたが、
念のため、OS側もパッチを当てておくことにしました。
JPRS発表文書によると、
開発元であるISCは、本脆弱性の深刻度(Severity)を「高(High)」と評
価しています。また、
・既に本脆弱性を利用した具体的な攻撃方法がインターネット上に公開され
ていること
・対象となるバージョンが現時点でサポートされているすべてのBIND 9であ
ること
・namedにおいてDNSSECの機能を有効にしていない場合であっても、本脆弱
性の影響を受けること
などから、広い範囲での適切な緊急対策が必要となります。
なお、再帰検索要求を受け付けないように設定されている権威DNSサーバー
については、本脆弱性の影響を受けません。
ということですので、外からの問い合わせに再帰検索受け付けず、
自分のドメインについて答えるだけ、であれば問題はありませんが、
内側からの問い合わせに再帰検索する場合に危険が伴う、ということのようです。
内側からの問い合わせに再帰検索するサーバーのほうが圧倒的でしょうから、
攻撃対象にされるサーバーは多いでしょう。