[plamo:27334] bind-9.3.3b1固めました。

[名倉昭一]

　 名倉 です。

　　セキリティホールmemo 2006.06.23にちょっと気になる記述があったので
　　bind-9.3.3b1を固め
　
　　　ftp://plamo.linet.gr.jp/pub/Plamo-test/for-4.2/bind-9.3.3b1-i386-P1.tgz

   に置きました。
　 自分の簡易NAT(Plamo-4.2ベース)ではとりあえず動作しているようです。
　　
　 以下はセキリティホールmemo 2006.06.23の関係部分のコピーです。

　■ isc.org provides attack mitigation
　　(SANS ISC, 2006.06.23)

　BIND 9.3.3b1 にはセキュリティ上の変更が 1 点加えられているそうで。

    1951.  [security]      Drop queries from particular well known ports.
                           Don't return FORMERR to queries from particular
                           well known ports.  [RT #15636]

　こういう話:

    ISSUE:
    Some services respond to potentially spoofed udp packets.

    MITIGATION for DNS servers.

    Upgrade to bind 9.3.3b1 OR

    Drop udp packets from standard services ports 7,13,19, 37 and 464 (echo, daytime, chargen, time, and kpasswd) towards your DNS server(s). You will probably never see any valid queries from such a low port. In general dns queries should be sourced from ports > 1024. 

　　BIND 9.4.0a6, 9.2.7 Beta 1 にも同様の処置がなされているそうです (from [DNSOPS dnsops 29]。