■複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
お。
久々来ました。
▼概要
複数のDNSソフトウェアにおいて、キャッシュポイズニングが成立する脆弱性
があり、各ソフトウェアベンダより対応するためのパッチがリリースされま
した。本脆弱性は危険度が高いため、該当するソフトウェアを利用している
ユーザは、関連情報の収集と適切な対応を取ることを推奨します。
なお、後述の通り本脆弱性はDNSプロトコル上の特性に起因するものであり、
パッチの適用により、キャッシュポイズニングが成立する確率を低くするも
のです。
▼詳細
本脆弱性は、DNSクエリのIDが16ビットしかないプロトコル上の制限に加え、
DNSソフトウェアがキャッシュサーバとして動作する際、問い合わせを送信す
る際のソースポートを固定している場合、キャッシュポイズニングが成立す
る確率が高くなる問題です。特に TTL が短いレコードが攻撃対象となった場
合、この脆弱性に対するリスクが増大します。
本脆弱性の詳細については、US-CERTからの脆弱性情報(*1) およびJANOG19
におけるJPRS発表資料(*2)をご参照ください。
(*1) US-CERT
Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113
(*2) JANOG19 JPRS 民田発表資料
これでいいのかTTL - 短いDNS TTLのリスクを考える
http://www.janog.gr.jp/meeting/janog19/files/DNS_Minda.pdf
・・・でも根本的には解決できなさそう。。。
複数の DNS 実装にキャッシュポイズニングの脆弱性
こちらでは緊急扱いになってますね。
でも、バージョンアップを気にするより、Allow-Queryやrecursionの設定をキッチリ見直した方が良さそうです。
根本的にOpenDNSになってなければ影響は受けにくくなるので。
コメント