-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2007-38 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2007/07/31 最終更新日 : 2007/07/31 パッケージ名 : bind タイトル : DNS キャッシュ・ポイズニング 概要 : bind パッケージには、ホスト名を IP アドレスに(またはその逆に)変換する named ネームサーバーや、リゾルバライブラリ(ドメインネームサービスに アクセスする際に、プログラムが使用するインターフェースを提供する システムライブラリ内の各種ルーチン)が含まれています。 DNS のキャッシュ情報を書き換えられてしまう脆弱性が存在します。 影響 : DNS のキャッシュ情報を書き換えられてしまう可能性があります。 影響製品 : - Turbolinux Appliance Server 2.0 - Turbolinux 10 Server x64 Edition - Turbolinux Appliance Server 1.0 Hosting Edition - Turbolinux Appliance Server 1.0 Workgroup Edition - Turbolinux 10 Server - Turbolinux 8 Server 対策方法 : 下記パッケージにアップデートを行って下さい。 [Turbolinux 10 Server(Service Pack 1), Turbolinux 10 Server x64 Edition(Service Pack 1) の場合] アップデートは、Kメニュー「左端の メニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux Appliance Server の場合] アップデートは、 ATOM Server Desktop 上から行って下さい。 [Turbolinux 10 Server の場合] アップデートは、Kメニュー「左端の Turbolinux のロゴ」をクリックし Turboアップデートを起動し行って下さい。 [Turbolinux 8 Server の場合] コンソール上から turbopkg(zabom) コマンドを実行してアップデートを行って下さい。 コンソールから実行する場合 ---------------------------------------- [Turbolinux 10 Server の場合] # turbopkg # turbo+ --cui もしくは、 # zabom -u bind bind-chroot bind-libs bind-utils [Turbolinux 8 Server の場合] # turbopkg もしくは、 # zabom update bind bind-devel bind-utils ---------------------------------------- turbopkg(zabom) が使用できない環境では、パッケージを個別にダウンロードし 下記コマンドを実行して下さい。 ---------------------------------------- # rpm -Fvh bind-9.2.3-13.i586.rpm \ bind-chroot-9.2.3-13.i586.rpm \ bind-libs-9.2.3-13.i586.rpm \ bind-utils-9.2.3-13.i586.rpm ---------------------------------------- (パラメータに設定している、パッケージ、バージョン番号は、各製品毎に変更し実行して下さい。) Source Packages Size: MD5 bind-9.2.3-13.src.rpm 3535018 0aadc97759bffd8262567f60a7f1be68 Binary Packages Size: MD5 bind-9.2.3-13.i586.rpm 371448 6a8b6349412c728d8bad08116a49148e bind-chroot-9.2.3-13.i586.rpm 9906 44d0fba52bd34ac3f9cc746528d78178 bind-libs-9.2.3-13.i586.rpm 416937 698ff65446b48828d8dfb5c940ad140c bind-utils-9.2.3-13.i586.rpm 96596 5777bec35f0105651db22f0ae4ba8fb1 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/bind-9.2.3-13.src.rpm 3535018 8a247a202c452a8b5be2bba53ffa65ce Binary Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/RPMS/bind-9.2.3-13.x86_64.rpm 398130 2c4a21b36ac463017e545f1a6605a0c5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/RPMS/bind-chroot-9.2.3-13.x86_64.rpm 9835 4334d64999fb24d6e7f45ed0d571b86f ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/RPMS/bind-libs-9.2.3-13.x86_64.rpm 518285 dd650dec7f711b6e718a736c7ccc51b0 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/RPMS/bind-utils-9.2.3-13.x86_64.rpm 107950 523e2048a2b1412c48ee557b2809f1fb Source Packages Size: MD5 bind-9.2.1-7.src.rpm 4980342 e90d17b8566a93be61cd13d9931e68bb Binary Packages Size: MD5 bind-9.2.1-7.i586.rpm 2760412 9b2a5be6492fc275c7076d833d069b71 bind-devel-9.2.1-7.i586.rpm 728066 4f764bf8b2887d1cf989b50e733805a2 bind-utils-9.2.1-7.i586.rpm 1719033 4b56803cbdd7ae12cd33a080a837d2e4 Source Packages Size: MD5 bind-9.2.1-7.src.rpm 4980342 e72269734e23aae2348881bfb34a687b Binary Packages Size: MD5 bind-9.2.1-7.i586.rpm 2760652 049b6a5d6539a2d8410f94b24b232a91 bind-devel-9.2.1-7.i586.rpm 728475 10fad50dc68a22a2483ce0b6ad44e1c1 bind-utils-9.2.1-7.i586.rpm 1719204 0aa93a4bc137bba77bd0e74b24faabd8 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/bind-9.2.3-13.src.rpm 3535018 0aadc97759bffd8262567f60a7f1be68 Binary Packages Size: MD5 bind-9.2.3-13.i586.rpm 371448 6a8b6349412c728d8bad08116a49148e bind-chroot-9.2.3-13.i586.rpm 9906 44d0fba52bd34ac3f9cc746528d78178 bind-libs-9.2.3-13.i586.rpm 416937 698ff65446b48828d8dfb5c940ad140c bind-utils-9.2.3-13.i586.rpm 96596 5777bec35f0105651db22f0ae4ba8fb1 Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/bind-9.2.1-7.src.rpm 4980342 ffd8e7007d927d69eec2144bdeb42247 Binary Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/bind-9.2.1-7.i586.rpm 2761395 08e39df3748f859ec3dcb20b375a7467 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/bind-devel-9.2.1-7.i586.rpm 729121 6d92c902c82b8ac8b43118f7c622776a ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/bind-utils-9.2.1-7.i586.rpm 1719314 4928d38cbb473884c7153a2b90b7f7d5 注意事項 : Turbolinux Appliance Server 2.0, Turbolinux 10 Server x64 Edition Turbolinux 10 Server 環境でアップデート(bind-9.2.3-4 -> bind-9.2.3-13)を行うと、 古いバージョンの bind-9.2.3-4 パッケージが残ってしまう問題が存在します。 (bind-9.2.3-4 の uninstall スクリプトが失敗するため) 実害はありませんが log にインストール失敗のメッセージが表示されます。 恐れ入りますが下記コマンドをコンソールより root ユーザで実行して下さい。 -------------------------------------------------- # rpm -e bind-9.2.3-4 --nodeps --noscripts -------------------------------------------------- またアップデート後、上記コマンドを実行しないと Turbolinux Appliance Server 2.0 の アップデートパッケージリストに bind パッケージが表示されたままになります。 この問題を解消するためには、goozoo (TLBA-2007-18) パッケージを適用する必要があります。 関連文章 : CVE [CVE-2007-2926] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2926 Turbolinux Bug Fix Advisory [TLBA-2007-18] http://www.turbolinux.co.jp/update/update_history/2007/TLBA-2007-18j.txt -------------------------------------------------------------------------- 更新履歴 初版 2007/07/31 -------------------------------------------------------------------------- Copyright(C) 2007 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (GNU/Linux) iD8DBQFGrs8iK0LzjOqIJMwRAjSqAKCOTFMnYcFBt3VvorD/VE+XWmC6uACgl5HH 8dzRfFeKMi4dfebptnd8cfc= =9wed -----END PGP SIGNATURE-----