Debian JP Project

(for vocal browsers: toc, main)

Google
WWW 全体 www.debian.or.jp 検索

« Software Design 2008 年 8 月号「Debian live-helper」記事 | 一覧 | 第43回 Debian 勉強会のお知らせ »

2008年08月08日

DNS キャッシュ汚染問題への対応について

各種メディアで既に何度も報じられていますが、セキュリティ技術者 Dan Kaminsky 氏によって DNS プロトコルそのものに起因する深刻な脆弱性が発見されており、先日 8 月 6 日の BlackHat カンファレンスにて正式公開されました (この問題の原理について最も解り易い日本語資料が「DNS Cache Poisoningの概要と対処 (PDF)」 として公開されています)。現在、DNS キャッシュサーバに対して攻撃可能なツールが出回っている状態となっています。

ご存知の通り、DNS はインターネットの根幹を成す技術の一つであり、この信頼性が失われることは多大な問題をもたらします。DNS キャッシュサーバを運用されている方は自身のキャッシュサーバが安全かどうかの確認を、インターネット利用者の方は自分が使っている DNS キャッシュサーバが安全かをブラウザにてDNS Operations, Analysis, and Research Center (DNS-OARC) のページにて確認ください (ページの中程に「Test My DNS」の文字がありますので、そちらをクリックすれば結果が判ります。利用者の方で安全でない結果が出た場合はプロバイダあるいは運用機関に早急に対応が必要な旨の苦情を述べましょう。話が全く通じない、変更を実施しようとしない場合はプロバイダの変更を検討された方が良いかもしれません…)。

Debian サーバ管理者への情報となりますが、bind パッケージ (bind8) については、既にセキュリティ勧告 (DSA-1604) で報告されているように「BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポートのランダム化) を実装することは困難であり、早急に BIND 9 への移行を推奨する」ものとなっています。つまり、bind パッケージを利用した DNS キャッシュサーバは危険です。
bind9 パッケージについては同様にセキュリティ勧告 (DSA-1603) の詳細の通り、対応のためのパッチは適用されていますが、以前の named.conf のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていたことがありますので、必ず勧告文を参照して通常のパッケージ更新以外の作業が必要であり、完了の確認が必要であることを確認ください。
なお、同様にメジャーな DNS サーバソフト djbdns の dnscache には今回の件での対応は現状必要とされていません。他の DNS サーバソフトについて、確認を行いたい場合は、US-CERTの「Multiple DNS implementations vulnerable to cache poisoning (VU#800113) (7/8)」の Vendor 一覧でチェックするか、ソフトウェアの開発元 (upstream) に直接コンタクトを取るなどすると良いでしょう。

また、東海地区ではこの問題について協議するため、東海インターネット協議会が 8/9 のオープンソースカンファレンス 2008 において 緊急DNS勉強会の開催宣言 などをしています。問題をより正確に把握したい方は参加頂くことを検討ください。

企業などで「対応のためには公的な情報が無いと動けない」という方は JPCERT/CC (インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントへの日本での対応支援窓口)や JPRS (日本のドメイン名管理団体) などがこの件に対するリリースを出しています (JPRS:「複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について (7/9)」、JPRS:「(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報) (07/24)」、JPCERT/CC「複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 (7/9)」、JPCERT/CC「[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 (7/24)」等) ので、そちらを参照ください。

なお、今後この問題に起因するソフトウェアの修正とセキュリティ勧告が続くものと思われます (例: pdns-recursor パッケージ、 glibc パッケージ、 python-dns パッケージ、 dnsmasq パッケージなどが該当します。 なお、powerdns パッケージ (8/11 10:00 時点でリンク先は未掲載) については今回の件に起因する脆弱性ではなく、別のリスクを避けるものとして報告されています)。 特にサーバ管理者の方はセキュリティ勧告についてご注意ください。

2008/08/08 20:02 リンク


過去のニュース