2008年08月12日
[RHL9] BIND 9.4.2-P2のパッケージを作る
テーマ:サーバ管理日記
既に7月頭に出ていたBINDのキャッシュポイズニング脆弱性ですが、やっと手元の RHL9 マシン用RPMパッケージを作成したのでメモ。
脆弱性の詳細については以下をご覧下さい。
JVNVU#800113 (日本語)
CERTVU#800113 (英語)
ISC: BIND Vulnerabilities (英語)
以前にも9.2.8 や9.4.1-p1 などのパッケージを作ってきましたが、今回も同じ要領で作っていきます。
ハマりどころが一箇所ありました。
BINDの元ソースアーカイブ名が、bind-9.4.2-P2.tar.gz というように、ハイフン付のパッチナンバー("-P2")が入っていると、編集元のspecファイルで Versionにハイフンが使えずハマります。これについては、バージョン表記を9.4.2_P2というように変更すればいいのですが、こうすると今度はSOURCESで bind-9.4.2_P2.tar.gzを探しに行くので、ファイルが見つからないと言ってエラーになります。元アーカイブの名前を変えればいいかと言うと、それだけでは展開後のディレクトリ名が9.4.2-P2のままなので、やはりダメです。
そこで、非常に場当たりですが、SOURCESにwgetしておいたbindの元ソースを1回展開し、ディレクトリ名を変更して再度tar.gzにアーカイブするということで逃げました。
# tar zxvf bind-9.4.2-P2.tar.gz
# mv bind-9.4.2-P2 bind-9.4.2_P2
# tar zcvf bind-9.4.2_P2.tar.gz bind-9.4.2_P2
ご参考までにSPECファイルを置いておきます。→ bind-9.4.2p2-1.spec
これ以降バージョンが上がっていっても、specファイルのVersionやReleaseを書き換えるだけです。
出来上がったパッケージはこちらです。
SRPM for RHL9
bind-9.4.2_P2-1.src.rpm
RPM for RHL9
bind-9.4.2_P2-1.i386.rpm
bind-debuginfo-9.4.2_P2-1.i386.rpm
bind-devel-9.4.2_P2-1.i386.rpm
bind-utils-9.4.2_P2-1.i386.rpm
BINDのバージョンアップ/再起動が完了したら、本当に大丈夫か確認しましょう。
DNS Stuff(旧:DNS Report)と言うサイトで、各種のDNS関係チェック用Webアプリ を公開しています。
今回は結構やばい脆弱性なので、このサイトでも特設のチェックツールを置いています。
事前に手元のマシンでプライマリDNSを対象機のIPにしておいて、以下をクリックします。
DNS Vulnerability Check
ちょっと待たされますが、完了すると検査結果が表で表示されます。
Ratingの欄で GOOD以上の判定ならOK。FAIRやPOORだとまずいです。
脆弱性の詳細については以下をご覧下さい。
JVNVU#800113 (日本語)
CERTVU#800113 (英語)
ISC: BIND Vulnerabilities (英語)
以前にも9.2.8 や9.4.1-p1 などのパッケージを作ってきましたが、今回も同じ要領で作っていきます。
ハマりどころが一箇所ありました。
BINDの元ソースアーカイブ名が、bind-9.4.2-P2.tar.gz というように、ハイフン付のパッチナンバー("-P2")が入っていると、編集元のspecファイルで Versionにハイフンが使えずハマります。これについては、バージョン表記を9.4.2_P2というように変更すればいいのですが、こうすると今度はSOURCESで bind-9.4.2_P2.tar.gzを探しに行くので、ファイルが見つからないと言ってエラーになります。元アーカイブの名前を変えればいいかと言うと、それだけでは展開後のディレクトリ名が9.4.2-P2のままなので、やはりダメです。
そこで、非常に場当たりですが、SOURCESにwgetしておいたbindの元ソースを1回展開し、ディレクトリ名を変更して再度tar.gzにアーカイブするということで逃げました。
# tar zxvf bind-9.4.2-P2.tar.gz
# mv bind-9.4.2-P2 bind-9.4.2_P2
# tar zcvf bind-9.4.2_P2.tar.gz bind-9.4.2_P2
ご参考までにSPECファイルを置いておきます。→ bind-9.4.2p2-1.spec
これ以降バージョンが上がっていっても、specファイルのVersionやReleaseを書き換えるだけです。
出来上がったパッケージはこちらです。
SRPM for RHL9
bind-9.4.2_P2-1.src.rpm
RPM for RHL9
bind-9.4.2_P2-1.i386.rpm
bind-debuginfo-9.4.2_P2-1.i386.rpm
bind-devel-9.4.2_P2-1.i386.rpm
bind-utils-9.4.2_P2-1.i386.rpm
BINDのバージョンアップ/再起動が完了したら、本当に大丈夫か確認しましょう。
DNS Stuff(旧:DNS Report)と言うサイトで、各種のDNS関係チェック用Webアプリ を公開しています。
今回は結構やばい脆弱性なので、このサイトでも特設のチェックツールを置いています。
事前に手元のマシンでプライマリDNSを対象機のIPにしておいて、以下をクリックします。
DNS Vulnerability Check
ちょっと待たされますが、完了すると検査結果が表で表示されます。
Ratingの欄で GOOD以上の判定ならOK。FAIRやPOORだとまずいです。