各位
JPCERT-AT-2008-0013
JPCERT/CC
2008-07-09(初版)
2008-07-25(更新)
<<< JPCERT/CC Alert 2008-07-09 >>>
複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性
Cache-Poisoning Vulnerability In Multiple DNS Servers
http://www.jpcert.or.jp/at/2008/at080013.txt
*** 更新: 2008年7月25日追記 ****************************************
本注意喚起は、攻撃ツールの公開などの状況の変化に伴い、以下の注意喚起
に全面更新されました。
JPCERT-AT-2008-0014
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080014.txt
********************************************************************
I. 概要
DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃
を許す脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によっ
て DNS キャッシュサーバが偽の DNS 情報で汚染される可能性があります。
なお本脆弱性の詳細が海外のセキュリティ研究者により 2008年8月に公表さ
れる予定です。
*** 更新: 2008年7月23日追記 *****************************************
2008年7月22日、当初の予定より早く本脆弱性の攻撃手法に関する情報が誤っ
て公開されました。このため、近日中に本脆弱性を狙った攻撃が発生する可能
性が高まりました。管理者は、各製品ベンダが提供する修正済ソフトウエアを
早急に適用してください。
**********************************************************************
II. 対象
この脆弱性は複数の DNS サーバ製品に影響を及ぼします。
影響を受ける主要な製品は以下の通りです。
- ISC BIND (BIND 8 を含む)
- Microsoft DNS サーバ
- 複数の Cisco 製品
- 複数の Juniper 製品 (Netscreen 社製品を含む)
詳細につきましては、各社が発表しているアドバイザリをご確認下さい。
なお記載されていない製品も影響を受ける可能性があります。上記以外の
DNS サーバをお使いの場合、ベンダにお問い合わせ下さい。
III. 対策
各製品ベンダが提供する修正済ソフトウエアに製品をアップデートしてくだ
さい。
*** 更新: 2008年7月11日追記 *****************************************
Debian GNU/Linux や Fedora などで BIND を使用している場合、
named.conf に以下のような DNS クエリーのソースポートを固定する設定が行
われている可能性があります。
query-source port 53;
query-source-v6 port 53;
このような場合、BIND をバージョンアップ後に設定を変更しないとキャッ
シュポイズニング対策として不十分です。変更方法につきましては各ベンダー
からの情報を参照して下さい。
また、対策後には DNS サーバからのクエリーのソースポートがランダムに
なります。このため、ファイアウォールなどで DNS サーバーからの通信が制
限される可能性があります。設定変更の際には、事前にファイアウォールなど
の設定を確認することを推奨いたします。
**********************************************************************
IV. 参考情報
US-CERT Technical Cyber Security Alert TA08-190B
Multiple DNS implementations vulnerable to cache poisoning
http://www.us-cert.gov/cas/techalerts/TA08-190B.html
US-CERT Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113
ISC - CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php
Microsoft MS08-037
DNS の脆弱性により、なりすましが行われる (953230)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-037.mspx
Cisco Security Advisory: Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks
Advisory ID: cisco-sa-20080708-dns
http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml
*** 更新: 2008年7月9日追記 ******************************************
株式会社日本レジストリサービス (JPRS)
複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html
社団法人日本ネットワークインフォメーションセンター (JPNIC)
複数のDNS実装におけるキャッシュポイズニングの脆弱性について
http://www.nic.ad.jp/ja/topics/2008/20080709-02.html
**********************************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2008-07-09 初版
2008-07-09 JPRS, JPNIC へのリンク追加
2008-07-11 一部 Linux ディストリビューションでの対策について追記
2008-07-23 攻撃手法の公開について追記
2008-07-25 更新版注意喚起に関する情報を追記
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ