-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2008-0013 JPCERT/CC 2008-07-09(初版) 2008-07-25(更新) <<< JPCERT/CC Alert 2008-07-09 >>> 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 Cache-Poisoning Vulnerability In Multiple DNS Servers http://www.jpcert.or.jp/at/2008/at080013.txt *** 更新: 2008年7月25日追記 **************************************** 本注意喚起は、攻撃ツールの公開などの状況の変化に伴い、以下の注意喚起 に全面更新されました。 JPCERT-AT-2008-0014 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080014.txt ******************************************************************** I. 概要 DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃 を許す脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によっ て DNS キャッシュサーバが偽の DNS 情報で汚染される可能性があります。 なお本脆弱性の詳細が海外のセキュリティ研究者により 2008年8月に公表さ れる予定です。 *** 更新: 2008年7月23日追記 ***************************************** 2008年7月22日、当初の予定より早く本脆弱性の攻撃手法に関する情報が誤っ て公開されました。このため、近日中に本脆弱性を狙った攻撃が発生する可能 性が高まりました。管理者は、各製品ベンダが提供する修正済ソフトウエアを 早急に適用してください。 ********************************************************************** II. 対象 この脆弱性は複数の DNS サーバ製品に影響を及ぼします。 影響を受ける主要な製品は以下の通りです。 - ISC BIND (BIND 8 を含む) - Microsoft DNS サーバ - 複数の Cisco 製品 - 複数の Juniper 製品 (Netscreen 社製品を含む) 詳細につきましては、各社が発表しているアドバイザリをご確認下さい。 なお記載されていない製品も影響を受ける可能性があります。上記以外の DNS サーバをお使いの場合、ベンダにお問い合わせ下さい。 III. 対策 各製品ベンダが提供する修正済ソフトウエアに製品をアップデートしてくだ さい。 *** 更新: 2008年7月11日追記 ***************************************** Debian GNU/Linux や Fedora などで BIND を使用している場合、 named.conf に以下のような DNS クエリーのソースポートを固定する設定が行 われている可能性があります。 query-source port 53; query-source-v6 port 53; このような場合、BIND をバージョンアップ後に設定を変更しないとキャッ シュポイズニング対策として不十分です。変更方法につきましては各ベンダー からの情報を参照して下さい。 また、対策後には DNS サーバからのクエリーのソースポートがランダムに なります。このため、ファイアウォールなどで DNS サーバーからの通信が制 限される可能性があります。設定変更の際には、事前にファイアウォールなど の設定を確認することを推奨いたします。 ********************************************************************** IV. 参考情報 US-CERT Technical Cyber Security Alert TA08-190B Multiple DNS implementations vulnerable to cache poisoning http://www.us-cert.gov/cas/techalerts/TA08-190B.html US-CERT Vulnerability Note VU#800113 Multiple DNS implementations vulnerable to cache poisoning http://www.kb.cert.org/vuls/id/800113 ISC - CERT VU#800113 DNS Cache Poisoning Issue http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php Microsoft MS08-037 DNS の脆弱性により、なりすましが行われる (953230) http://www.microsoft.com/japan/technet/security/bulletin/MS08-037.mspx Cisco Security Advisory: Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks Advisory ID: cisco-sa-20080708-dns http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml *** 更新: 2008年7月9日追記 ****************************************** 株式会社日本レジストリサービス (JPRS) 複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html 社団法人日本ネットワークインフォメーションセンター (JPNIC) 複数のDNS実装におけるキャッシュポイズニングの脆弱性について http://www.nic.ad.jp/ja/topics/2008/20080709-02.html ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2008-07-09 初版 2008-07-09 JPRS, JPNIC へのリンク追加 2008-07-11 一部 Linux ディストリビューションでの対策について追記 2008-07-23 攻撃手法の公開について追記 2008-07-25 更新版注意喚起に関する情報を追記 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQCVAwUBSIkoyYx1ay4slNTtAQgd7wP9FlHs7hGdQuaIk4vOm559GXQyksdevnsR 0mWP0FoCd93jvsC9n8frxao0m+tJsKt1orHI7bor6MNaeVzDq16tDEV99hYXXipb hE5ps9YLxQoOUnBcWB3zLvIDPxVeLbFdasZoXJmrcmikE0wRS9pGdIeS50nT2+Wc lAA6FScCHyo= =+WBE -----END PGP SIGNATURE-----