月曜日, 3月 02, 2009
djbdnsのセキュリティバグとパッチ情報
djbdnsのセキュリティバグが2月末にアナウンスされました。
djbdnsは2番有名なDNSサーバ、7年間最新版のリリースが出てから結構stableしている状態でした。実際はどういう問題を発見されたのか?
現在の問題情報は詳しくCVE-2008-4392に書いてあり、又はPこちらは⇒PDFバーションです。
英語でCVEで書いた様に「dnscache in Daniel J. Bernstein djbdns 1.05 does not prevent simultaneous identical outbound DNS queries, which makes it easier for remote attackers to spoof DNS responses, as demonstrated by a spoofed A record in the Additional section of a response to a Start of Authority (SOA) query」多分分かりにくいかも知れないですが、簡単な説明では「似たようなDNS queryの対応が弱く Aレコードのspoofアタックされる可能性が高い」です。
詰りもし1.abc.co.jp、2.abc.co.jp … n.abc.co.jpのDNS queryが来ますと Aレコードの回答では殆ど別のxxx.abc.co.jpのAレコードになりました。このバグを使うと危ないスパムやPhising仕組みになりますが、高いレベルセキュリティ問題になります。
Kevin Dayさんは本件のバグ見つけた方ですが、バグ情報を纏める迄本件の問題をレポートしました。その情報元にJeff Kingさんははパッチを作られました。下記はパッチのURLです↓
http://www.your.org/dnscache/
このパッチをdjbdnsに入れたら バグを解決になります。
もし手でパッチを入れたくないならば、PRE-PACHED djbdns-1.05のバーションも今提供しているので、下記のURLからダウンロードが出来ます↓
http://www.your.org/dnscache/djbdns-1.05-with-patches.tar.gz
★他のDNSの関係のニュース(英文)★
Caching bugs exposed in second biggest DNS server (28 February 2009)
Kaminsky calls for DNSSEC deployment (21 February 2009)
New-age cyber-attack inflicts major damage with modest means (10 February 2009)
2008: A year of cowboys in IT security (31 December 2008)
Feds prep gov domains for net address server swap (18 November 2008)
DNS inventor blames wrangling for insecure interweb (12 November 2008)
One in ten DNS servers still vulnerable to poisoning (10 November 2008)
DoS attack reveals (yet another) crack in net's core (1 October 2008)
Black hats target Windows Media Encoder bug (16 September 2008)
Sophos DNS snafu creates update problems (5 September 2008)
Hijacking huge chunks of the internet - a new How To (27 August 2008)
How poor crypto housekeeping left OpenID open to abuse (13 August 2008)
Patched DNS servers still vulnerable to cache poisoning (11 August 2008)
Black hats attack gaping DNS hole (31 July 2008)
Apple skewered over missing DNS patch (29 July 2008)
Updated World's biggest ISPs drag feet on critical DNS patch (25 July 2008)
Exploit code for Kaminsky DNS bug goes wild (24 July 2008)
Researcher's hypothesis may expose uber-secret DNS flaw (21 July 2008)
Vendors form alliance to fix DNS poisoning flaw (9 July 2008)
Web browsers face crisis of security confidence (23 June 2008)
DNS lords expose netizens to 'poisoning' (15 April 2008)
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿