既に7月頭に出ていたBINDのキャッシュポイズニング脆弱性ですが、やっと手元の RHL9 マシン用RPMパッケージを作成したのでメモ。

脆弱性の詳細については以下をご覧下さい。

JVNVU#800113 （日本語）
CERTVU#800113 （英語）
ISC: BIND Vulnerabilities (英語)

以前にも9.2.8 や9.4.1-p1 などのパッケージを作ってきましたが、今回も同じ要領で作っていきます。

ハマりどころが一箇所ありました。

BINDの元ソースアーカイブ名が、bind-9.4.2-P2.tar.gz というように、ハイフン付のパッチナンバー（"-P2"）が入っていると、編集元のspecファイルで Versionにハイフンが使えずハマります。これについては、バージョン表記を9.4.2_P2というように変更すればいいのですが、こうすると今度はSOURCESで bind-9.4.2_P2.tar.gzを探しに行くので、ファイルが見つからないと言ってエラーになります。元アーカイブの名前を変えればいいかと言うと、それだけでは展開後のディレクトリ名が9.4.2-P2のままなので、やはりダメです。

そこで、非常に場当たりですが、SOURCESにwgetしておいたbindの元ソースを1回展開し、ディレクトリ名を変更して再度tar.gzにアーカイブするということで逃げました。

# tar zxvf bind-9.4.2-P2.tar.gz
# mv bind-9.4.2-P2 bind-9.4.2_P2
# tar zcvf bind-9.4.2_P2.tar.gz bind-9.4.2_P2

ご参考までにSPECファイルを置いておきます。→ bind-9.4.2p2-1.spec
これ以降バージョンが上がっていっても、specファイルのVersionやReleaseを書き換えるだけです。

出来上がったパッケージはこちらです。

SRPM for RHL9
bind-9.4.2_P2-1.src.rpm

RPM for RHL9
bind-9.4.2_P2-1.i386.rpm
bind-debuginfo-9.4.2_P2-1.i386.rpm
bind-devel-9.4.2_P2-1.i386.rpm
bind-utils-9.4.2_P2-1.i386.rpm

BINDのバージョンアップ/再起動が完了したら、本当に大丈夫か確認しましょう。
DNS Stuff（旧:DNS Report）と言うサイトで、各種のDNS関係チェック用Webアプリ を公開しています。
今回は結構やばい脆弱性なので、このサイトでも特設のチェックツールを置いています。

事前に手元のマシンでプライマリDNSを対象機のIPにしておいて、以下をクリックします。
DNS Vulnerability Check
ちょっと待たされますが、完了すると検査結果が表で表示されます。

Ratingの欄で GOOD以上の判定ならOK。FAIRやPOORだとまずいです。