<div dir="ltr">Hi,<div><br></div><div style>I am sorry for being so dense but I am confused about what to do about protecting my BIND DNS servers running 9.9.1-P4 from the regex issue.</div><div style><br></div><div style>
The link <a href="https://kb.isc.org/article/AA-00871">https://kb.isc.org/article/AA-00871</a> says this ...</div><div style><br></div><div style>Impact:</div><div style><br></div><div style>... <span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">Intentional exploitation of this condition can cause denial of service in all authoritative and recursive nameservers running affected versions of </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9 [all versions of </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9.7, </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9.8.0 through 9.8.5b1 (inclusive) and </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">9.9.0 through </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9.9.3b1 (inclusive)].  </span></div>
<div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"><br></span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">OK ... I run 9.9.1-P4 so my DNS server could be affected by this issue.  </span></div>
<div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">But later on in the link it says ...</span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"><br>
</span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">Solution:</span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"><br>
</span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">Compile </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9 without regular expression support as described in the "Workarounds" section of this advisory or u</span><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em">pgrade to the patched release most closely related to your current version of</span><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em"> </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important"><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;font-style:inherit;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym></acronym><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em">. These can be downloaded from </span><a target="" href="http://www.isc.org/downloads/all" style="outline:none;border:0px;margin:0px;padding:0px;font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em;color:rgb(51,102,153)!important">http://www.isc.org/downloads/all</a><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em">.</span><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"><br>
</span></div><div style><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em"><br></span></div><div style><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em">* BIND 9 version 9.9.2-P2 </span></div>
<div style><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em"><br></span></div><div style><span style="margin:0px;padding:0px;border:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:1.4em">But its 9.9.2-P2 with in </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">9.9.0 through </span><acronym class="" title="BIND is a DNS server product produced by ISC.  BIND 9 is currently the stable production version, while BIND 10 is nearing production quality.  BIND is an acronym for Berkeley Internet Name Domain, although many incorrectly call it Berkeley Internet Name Daemon." style="margin:0px;padding:0px;border-top-width:0px;border-right-width:0px;border-left-width:0px;color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px;border-bottom-width:1px!important;border-bottom-style:dotted!important;border-bottom-color:rgb(0,0,0)!important">BIND</acronym><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"> 9.9.3b1? So is 9.9.2-P2 also affected? If I build from the 9.9.2-P2 tarball do I need to patch the config.h as discussed in the "Workarounds" section?</span></div>
<div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px"><br></span></div><div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">Thanks</span></div>
<div style><span style="color:rgb(0,0,0);font-family:Arial,Helvetica,sans-serif;font-size:12px;line-height:16.796875px">Red</span></div></div>