---------------------------------------------------------------------
■BIND 9.7.x/9.8.xのトラストアンカー自動更新機能の実装上のバグについて
  - バージョンアップを推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                                     2011/09/01（Thu）
---------------------------------------------------------------------

▼概要

  BIND 9.7.x/9.8.xでは実装上のバグにより、DNSSECバリデーター（キャッシュ
  DNSサーバー）におけるトラストアンカー自動更新の処理において不具合が
  発生する可能性があったことが、開発元のISCより発表されました。該当す
  るBIND 9において本機能を有効に設定している場合、ルートサーバーにおい
  て将来予定されているトラストアンカーの更新の際、予期しない障害が発生
  する可能性があります。

  このため、該当するBIND 9.7.x/9.8.xにおいてDNSSEC検証を有効にし、かつ
  managed-keysステートメントによりトラストアンカー自動更新機能を有効に
  している場合、バグが修正されたバージョンへのバージョンアップを推奨し
  ます。

▼詳細

  トラストアンカーの自動更新機能はRFC 5011により定義され、DNSSEC検証の
  際の信頼の拠点となるトラストアンカーの自動更新を実現することにより、
  DNSSECバリデーター（キャッシュDNSサーバー）の運用の負荷を軽減します。
  BIND 9では本機能を、BIND 9.7以降のバージョンでサポートしています。

  2011年8月31日（米国時間）にリリースされたBIND 9.8.1、及び同年8月1日
  （同）にリリースされたBIND 9.7.4 のリリースノートの「Bug Fixes（バグ
  の修正）」に、以下の記述があります。

     * During RFC5011 processing some journal write errors were not
       detected. This could lead to managed-keys changes being committed
       but not recorded in the journal files, causing potential
       inconsistencies during later processing. [RT #20256]

  この記述は、RFC 5011による更新処理の際にジャーナルファイルの書き込み
  エラーが検知されない場合があり、managed-keysステートメントによる変更
  がコミットされているにもかかわらずジャーナルファイルへの記録が実施さ
  れない可能性があったこと、その結果として、その後の処理に不整合を引き
  起す場合があったことを示しています。

▼参考リンク

  * ISC

    BIND 9.8.1
    <ftp://ftp.isc.org/isc/bind9/9.8.1>

    BIND 9.7.4
    <ftp://ftp.isc.org/isc/bind9/9.7.4>

---------------------------------------------------------------------
▼更新履歴
  2011-09-01 12:00 初版作成