-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2008-0014
                                                             JPCERT/CC
                                                      2008-07-24(初版)
                                                      2008-07-31(更新)


                  <<< JPCERT/CC Alert 2008-07-24 >>>

     [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの
                        脆弱性に関する注意喚起

        Cache-Poisoning Vulnerability In Multiple DNS Servers

             http://www.jpcert.or.jp/at/2008/at080014.txt

I. 概要

  注) 攻撃ツール公開などの状況の変化を踏まえ、JPCERT-AT-2008-0013 を全
  面的に更新しました。

  DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃
を許す脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によっ
て DNS キャッシュサーバが偽の DNS 情報で汚染される可能性があります。

  本脆弱性の詳細は海外のセキュリティ研究者により2008年8月に公表される
予定でしたが、2008年7月22日当初の予定より早く攻撃手法が公開されました。
さらに、2008年7月24日本脆弱性を狙った攻撃ツールが公開されました。

  このため、近日中に本脆弱性を狙った攻撃が発生する可能性が高まりました。
管理者は、各製品ベンダが提供する修正済ソフトウエアを早急に適用してくだ
さい。


II. 対象

  この脆弱性は複数の DNS サーバ製品に影響を及ぼします。

  影響を受ける主要な製品は以下の通りです。
  - ISC BIND (BIND 8 を含む) 
  - Microsoft DNS サーバ
  - 複数の Cisco 製品
  - 複数の Juniper 製品 (Netscreen 社製品を含む)
  - YAMAHA RT シリーズ
  - 古河電工 FITELnet シリーズの一部

  詳細につきましては、下記 JVN Web サイトより各社の発表を確認してください。
    
    JVNVU#800113
    複数の DNS 実装にキャッシュポイズニングの脆弱性
    http://jvn.jp/cert/JVNVU800113/index.html
  
  なお JVN に記載されていない製品も影響を受ける可能性があります。上記
以外の DNS サーバをお使いの場合、ベンダにお問い合わせください。


III. 対策

  各製品ベンダが提供する修正済ソフトウエアに製品をアップデートしてくだ
さい。これによりクエリーのソースポートがランダムになり、キャッシュポイ
ズニング攻撃の危険性を大幅に低減します。

  注意1: 
  Debian GNU/Linux や Fedora などで BIND を使用している場合、 
  named.conf に以下のような DNS クエリーのソースポートを固定する設定が
  行われている場合があります。

    query-source    port 53;
    query-source-v6 port 53;

  このような場合、BIND をバージョンアップ後に設定を変更しないとキャッ
  シュポイズニング対策として不十分です。変更方法につきましては各ベンダ
  からの情報を参照してください。

  注意2:
  対策後には DNS サーバからのクエリーのソースポートがランダムになりま
  す。このため、ファイアウォールなどで DNS サーバからの通信が制限され
  る可能性があります。設定変更の際には、事前にファイアウォールなどの設
  定を確認することを推奨いたします。

  注意3: 
  DNS サーバをルータ等のゲートウェイ機器の内側に設置している場合、
  NAT/NAPT 機能によってソースポートがランダムでなくなり、パッチによる
  効果が無くなる可能性があります。ゲートウェイ機器などの NAT/NAPT 機能
  を確認したり、DMZ に設置するなどの DNS サーバの設置環境の見直しをご検
  討ください。


IV. 参考情報

    JVNVU#800113
    複数の DNS 実装にキャッシュポイズニングの脆弱性
    http://jvn.jp/cert/JVNVU800113/index.html

    US-CERT Vulnerability Note VU#800113
    Multiple DNS implementations vulnerable to cache poisoning
    http://www.kb.cert.org/vuls/id/800113

    ISC - CERT VU#800113 DNS Cache Poisoning Issue
    http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php

    (緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
    http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html

    複数ベンダーのDNS のキャッシュ ポイズニングに対する脆弱性
    http://www.isskk.co.jp/support/techinfo/general/DNS_cachepoison_298.html

    DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して)
    http://www.nttv6.net/files/DKA-20080723.pdf

    Computer Security Research - McAfee Avert Labs Blog
    http://www.avertlabs.com/research/blog/index.php/2008/07/23/the-cat-is-out-of-the-bag-dns-bug/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

__________

改訂履歴
2008-07-24 初版
2008-07-31 誤字修正

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQCVAwUBSJFYqIx1ay4slNTtAQg4dQP9HXHQe/NJqfme6GA7pMxx0T6lCRyx1Wq+
aa3Jk9h8h/BA+BSr4ggJ0kv+3ch1bOm7Fqi1vtzNHcC1ka19zUiZUOGxhTLNrYaX
U3h/IroSlY4guF1FvCq3XjOzWifBEwKtvafAnPnZ2FJn87GhlBoqEDfTDCd4D1dn
ygU+bE7jdDc=
=rAjh
-----END PGP SIGNATURE-----