[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性
最終更新: 2008-07-31
各位
JPCERT-AT-2008-0014
JPCERT/CC
2008-07-24(初版)
2008-07-31(更新)
<<< JPCERT/CC Alert 2008-07-24 >>>
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの
脆弱性に関する注意喚起
Cache-Poisoning Vulnerability In Multiple DNS Servers
http://www.jpcert.or.jp/at/2008/at080014.txt
I. 概要
注) 攻撃ツール公開などの状況の変化を踏まえ、JPCERT-AT-2008-0013 を全
面的に更新しました。
DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃
を許す脆弱性があります。この脆弱性が使用された場合、遠隔の第三者によっ
て DNS キャッシュサーバが偽の DNS 情報で汚染される可能性があります。
本脆弱性の詳細は海外のセキュリティ研究者により2008年8月に公表される
予定でしたが、2008年7月22日当初の予定より早く攻撃手法が公開されました。
さらに、2008年7月24日本脆弱性を狙った攻撃ツールが公開されました。
このため、近日中に本脆弱性を狙った攻撃が発生する可能性が高まりました。
管理者は、各製品ベンダが提供する修正済ソフトウエアを早急に適用してくだ
さい。
II. 対象
この脆弱性は複数の DNS サーバ製品に影響を及ぼします。
影響を受ける主要な製品は以下の通りです。
- ISC BIND (BIND 8 を含む)
- Microsoft DNS サーバ
- 複数の Cisco 製品
- 複数の Juniper 製品 (Netscreen 社製品を含む)
- YAMAHA RT シリーズ
- 古河電工 FITELnet シリーズの一部
詳細につきましては、下記 JVN Web サイトより各社の発表を確認してください。
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
http://jvn.jp/cert/JVNVU800113/index.html
なお JVN に記載されていない製品も影響を受ける可能性があります。上記
以外の DNS サーバをお使いの場合、ベンダにお問い合わせください。
III. 対策
各製品ベンダが提供する修正済ソフトウエアに製品をアップデートしてくだ
さい。これによりクエリーのソースポートがランダムになり、キャッシュポイ
ズニング攻撃の危険性を大幅に低減します。
注意1:
Debian GNU/Linux や Fedora などで BIND を使用している場合、
named.conf に以下のような DNS クエリーのソースポートを固定する設定が
行われている場合があります。
query-source port 53;
query-source-v6 port 53;
このような場合、BIND をバージョンアップ後に設定を変更しないとキャッ
シュポイズニング対策として不十分です。変更方法につきましては各ベンダ
からの情報を参照してください。
注意2:
対策後には DNS サーバからのクエリーのソースポートがランダムになりま
す。このため、ファイアウォールなどで DNS サーバからの通信が制限され
る可能性があります。設定変更の際には、事前にファイアウォールなどの設
定を確認することを推奨いたします。
注意3:
DNS サーバをルータ等のゲートウェイ機器の内側に設置している場合、
NAT/NAPT 機能によってソースポートがランダムでなくなり、パッチによる
効果が無くなる可能性があります。ゲートウェイ機器などの NAT/NAPT 機能
を確認したり、DMZ に設置するなどの DNS サーバの設置環境の見直しをご検
討ください。
IV. 参考情報
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
http://jvn.jp/cert/JVNVU800113/index.html
US-CERT Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113
ISC - CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php
(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html
複数ベンダーのDNS のキャッシュ ポイズニングに対する脆弱性
http://www.isskk.co.jp/support/techinfo/general/DNS_cachepoison_298.html
DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して)
http://www.nttv6.net/files/DKA-20080723.pdf
Computer Security Research - McAfee Avert Labs Blog
http://www.avertlabs.com/research/blog/index.php/2008/07/23/the-cat-is-out-of-the-bag-dns-bug/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2008-07-24 初版
2008-07-31 誤字修正
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ