JPCERTのセキュリティ関連情報を購読させてもらっていますが、先日BINDに脆弱性があるとの情報があり、私が運用しているFreeBSDのパッケージがいつアップデートされるか気にしていました。しかし、約1週間待ったものの更新の気配がありません。
本日届いた セキュリティ関連情報 を見て、「ISC BIND 9.7 の全てのバージョン (サポートは終了しています)」という記述を見つけ、自分のサーバーの named を確認してみたところ 9.7系でした。
あら〜!って気分。
ということで、Bind9 を 9.7系から9.9系に更新することにしました。
今回も portmaster コマンドにお願いすることにして、以下のコマンドでバージョンアップを実施。
# portmaster -o dns/bind99 dns/bind97
特にエラーもなくリプレースが完了しました。
そして、named を再起動したところ、、、、起動しない!
メッセージを読んでみると、
---------------------------------------------------- BIND 9 is maintained by Internet Systems Consortium, Inc. (ISC), a non-profit 501(c)(3) public-benefit corporation. Support and training for BIND 9 are available at https://www.isc.org/support ---------------------------------------------------- ENGINE_by_id failed initializing DST: crypto failure exiting (due to fatal error) ./named: WARNING: failed to start named
というログが残っていました。
ENGINE_by_id って何?DST: cryption って何?
これらのキーワードで検索してみると、どうもnamedを chroot オプションで動かしている時に chroot 先ディレクトリに必要なモジュールをコピーしておかなければならないらしい。cryption というのはどうも DNSSEC と OpenSSL 関係のライブラリらしく、これをchroot 先を /とした位置にコピーすれば正常起動出来そうなのですが、そのファイルが具体的に何なのかがわからない!
まずは、本当にchroot が原因なのかどうかを切り分けるため chroot オプション無しで起動してみると、確かにエラーなく起動し動作を開始しました。
暫定的にはこれでいいのですが、、、、、最終的に、どうするか、今、考え中。