<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="font-family: Times; "><pre style="word-wrap: break-word; white-space: pre-wrap; "><font class="Apple-style-span" face="Courier">

        BIND 9.7.1-P2 is a SECURITY PATCH for BIND 9.7.1.

BIND 9.7.1-P2 reverses a change that was introduced in BIND 9.7.1.
</font></pre></span><div><font class="Apple-style-span" face="Courier"><br></font></div><div><font class="Apple-style-span" face="Courier">Security Advisory Regarding: RRSIG query handling bug in BIND 9.7.1<br>CVE# TBA<br>VU# 211905<br>Posting date: July 14, 2010<br>Program Impacted: BIND<br>Versions affected: 9.7.1,  9.7.1-P1<br>Severity:  High<br>Exploitable:  remotely<br><br>Description:<br>If a query is made explicitly for a record of type<br>'RRSIG' to a validating recursive server running BIND 9.7.1 or<br>9.7.1-P1, and the server has one or more trust anchors configured<br>statically and/or via DLV, then if the answer is not already in cache,<br>the server enters a loop which repeatedly generates queries for RRSIGs<br>to the authoritative servers for the zone containing the queried<br>name. This rarely occurs in normal operation, since RRSIGs are already<br>included in responses to queries for the RR types they cover, when<br>DNSSEC is enabled and the records exist.  However, the potential for<br>deliberate use of this bug must also be taken into account, which is<br>why ISC is preparing a patch for distribution as soon as possible.<br><br>Fix: BIND 9.7.1-P2 reverses a change that was introduced in BIND 9.7.1.<br>The change attempted to correct the behavior of a validating recursive<br>resolver when explicitly queried for records of type 'RRSIG'.  These<br>queries do not occur in normal DNSSEC operation, because RRSIG records<br>are ordinarily returned along with the records they cover.  However,<br>a type-RRSIG query can be used for manual testing purposes.  As a<br>result of the change in 9.7.1, if the cache did not contain any<br>RRSIG records for the name, such a query would trigger an endless<br>loop of recursive queries to the authoritative server.<br><br>BIND 9.7.1-P2 backs out the change, restoring the behavior prior to<br>9.7.1, which was not entirely correct but not harmful.  It will be<br>properly fixed in a future release.<br><br>Risk assessment: We do not believe this bug to pose a significant<br>operational risk. The versions of BIND affected are new, and<br>constitute only a small part of the deployed base of DNS software in the<br>world.  Our continued internal review, and testing by an early<br>adopter, found this issue before it was more widely deployed in<br>production.<br><br>Workarounds:<br>None, administrators need to upgrade using the patch that will be<br>available by 12:00 noon Pacific Daylight Time, July 15 2010.<br><br>Active exploits: None known.<br><br>Solution:<br>Upgrade BIND to 9.7.1-P2. If using 9.7.0, remain on 9.7.0-P2.<br><br>Revision History: None<br><br></font></div><div><font class="Apple-style-span" face="Courier">Acknowledgement: Thank you to Marco Davids of SIDN for  testing and finding the issue.</font></div><div><font class="Apple-style-span" face="Courier"><br>Please refer any questions you might have to<br></font><a href="mailto:security-officer@isc.org"><font class="Apple-style-span" face="Courier">security-officer@isc.org</font></a><font class="Apple-style-span" face="Courier">, or </font><a href="mailto:bind9-bugs@isc.org"><font class="Apple-style-span" face="Courier">bind9-bugs@isc.org</font></a></div><div style="font-family: Times; "><span class="Apple-style-span" style="font-family: Times; "><pre style="word-wrap: break-word; white-space: pre-wrap; "><font class="Apple-style-span" face="Courier">          BIND 9.7.1-P2 is now available.

        BIND 9.7.1-P2 is a SECURITY PATCH for BIND 9.7.1.

BIND 9.7.1-P2 reverses a change that was introduced in BIND 9.7.1.

The change attempted to correct the behavior of a validating recursive
resolver when explicitly queried for records of type 'RRSIG'.  These
queries do not occur in normal DNSSEC operation, because RRSIG records
are ordinarily returned along with the records they cover.  However,
a type-RRSIG query can be used for manual testing purposes.  As a
result of the change in 9.7.1, if the cache did not contain any
RRSIG records for the name, such a query would trigger an endless
loop of recursive queries to the authoritative server.

BIND 9.7.1-P2 backs out the change, restoring the behavior prior to
9.7.1, which was not entirely correct but not harmful.  It will be
properly fixed in a future release.

BIND 9.7.1-P2 can be downloaded from

        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz</a>

The PGP signature of the distribution is at

        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.sha256.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.sha256.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.sha512.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz.sha512.asc</a>

The signature was generated with the ISC public key, which is
available at <<a href="https://www.isc.org/about/openpgp">https://www.isc.org/about/openpgp</a>>.

A binary kit for Windows XP and Window 2003 is at

        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip</a>

The PGP signature of the binary kit for Windows XP and Window 2003 is at
        
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.sha256.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.sha256.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.sha512.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.zip.sha512.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.sha256.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.sha256.asc</a>
        <a href="ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.sha512.asc">ftp://ftp.isc.org/isc/bind9/9.7.1-P2/BIND9.7.1-P2.debug.zip.sha512.asc</a>

Changes since 9.7.1-P1:

        --- 9.7.1-P2 released ---

2931.   [security]      Temporarily and partially disable change 2864
                        because it would cause inifinite attempts of RRSIG
                        queries.  This is an urgent care fix; we'll
                        revisit the issue and complete the fix later.
                        [RT #21710]
</font></pre><div><font class="Apple-style-span" face="Courier"><br></font></div></span></div></body></html>