В OpenSSL есть ошибка Heartbleed. Я построил ISC BIND 9.9.5 с включенным OpenSSL 1.0.1e. Следует ли мне пересобрать BIND с помощью OpenSSL 1.0.1g?
Нет, мне не кажется, что BIND уязвим для уязвимости Heartbleed. Для использования уязвимости требуется запросить функцию контрольного сигнала TLS, а для этого требуется подключение TLS или соединение, которое можно повысить до TLS. Насколько мне известно, BIND не предлагает такой функциональности. Простое связывание с уязвимыми библиотеками само по себе не делает сервис уязвимым для атаки (смотреть OpenSSH, который связан с библиотеками, но, по-видимому, использует их для функций генерации ключей, а не для сетевых частей протокола).
Я считаю, что правильное понимание уязвимостей и их последствий важно для определения приоритетов исправлений. Нарушения любого рода связаны с нестабильностью и риском, и вы не хотите заниматься делами в середине дня, если они могут безопасно дождаться окна исправлений в следующую субботу.
Определенно было бы неплохо обновить ваш OpenSSL и повторно связать любые инструменты, созданные для этого, но я не думаю, что вам нужно чувствовать себя уязвимым, пока вы этого не сделаете, в этом конкретном случае. Честно говоря, было бы лучше использовать свое время, чтобы отказаться от программного обеспечения, созданного вручную, если это вообще возможно.
Bind не может быть уязвим для такого рода атак, поскольку он использует OpenSSL для других целей, кроме TLS.