【ネット】DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ
1 :ぶーちゃん ◆UqNmZifrGc @釣りチルドレン12号(080731)φ ★:
7月初旬からインターネットとセキュリティ業界を騒がせていたDNS(Domain Name System)
に関する脆弱性について7月24日(米国時間)、同脆弱性の発見者であるDan Kaminsky氏
がその詳細について解説した。このDNSで発見された脆弱性は、BINDからMicrosoft製品、
Cisco IOSに至るまで、インターネット上で稼働しているほとんどのシステムに影響を及ぼす
もの。その存在はKaminsky氏によって7月9日に公にされ、ネットワーク管理者らに対して
至急ベンダーからリリースされた対策パッチを充てるように通達が出されていた。脆弱性の
詳細についてはハッカーらの悪用を避けるために8月初旬に米ネバダ州ラスベガスで開催
される「Black Hat」まで公開されない予定だったが、22日になり別の研究者により脆弱性の
内容がオープンにされてしまったこともあり、急遽24日での情報公開となったいきさつがある。
>>2 以降に続く
MYCOM:
http://journal.mycom.co.jp/news/2008/07/26/013/index.html
に関する脆弱性について7月24日(米国時間)、同脆弱性の発見者であるDan Kaminsky氏
がその詳細について解説した。このDNSで発見された脆弱性は、BINDからMicrosoft製品、
Cisco IOSに至るまで、インターネット上で稼働しているほとんどのシステムに影響を及ぼす
もの。その存在はKaminsky氏によって7月9日に公にされ、ネットワーク管理者らに対して
至急ベンダーからリリースされた対策パッチを充てるように通達が出されていた。脆弱性の
詳細についてはハッカーらの悪用を避けるために8月初旬に米ネバダ州ラスベガスで開催
される「Black Hat」まで公開されない予定だったが、22日になり別の研究者により脆弱性の
内容がオープンにされてしまったこともあり、急遽24日での情報公開となったいきさつがある。
>>2 以降に続く
MYCOM:
http://journal.mycom.co.jp/news/2008/07/26/013/index.html
|
|
|
2 :ぶーちゃん ◆UqNmZifrGc @釣りチルドレン12号(080731)φ ★:2008/07/27(日) 00:06:09 ID:???
>>1 の続き
今回発見された脆弱性は「キャッシュ・ポイゾニング」と呼ばれるもので、インターネット上
に存在するDNSサーバ同士が情報の中継を行う際、悪意のあるサーバが偽の情報を相手
のDNSレコードに送り込み、以後DNSに対して問い合わせを行ったユーザーに対して本来
の意図とは別のサイトへと接続を誘導する。ネットワーク上に存在する端末(ノード)は互い
に通信を行う際、"ポート"と呼ばれる番号を指定して通信先のアプリケーションを指名する。
ポート番号を明示することで通信の制御が行いやすくなるからだ。だがこのような形でポート
を開放することは不特定の第三者に攻撃の隙を与えることも意味しており、通常は必要ない
ポートをファイアウォールやノード側で閉じておいたり、ポート番号を初期設定とは別のもの
にする、あるいは接続が発生するごとに動的に変更する手段が採られる。だがDNSの
サーバ同士の通信においては、ポートが初期設定、あるいは半固定の状態で運用されて
いるケースがほとんどで、ハッカーがこの性質を利用してDNSサーバを攻撃することが
可能となる。Kaminsky氏は「(ポート番号の数である)6万5,000分の1の確率で攻撃が可能だ。
こうした問題はほとんどのDNSサーバに存在しており、バグというよりは設計上の問題だ」
と指摘する。
>>3 以降へ続く
今回発見された脆弱性は「キャッシュ・ポイゾニング」と呼ばれるもので、インターネット上
に存在するDNSサーバ同士が情報の中継を行う際、悪意のあるサーバが偽の情報を相手
のDNSレコードに送り込み、以後DNSに対して問い合わせを行ったユーザーに対して本来
の意図とは別のサイトへと接続を誘導する。ネットワーク上に存在する端末(ノード)は互い
に通信を行う際、"ポート"と呼ばれる番号を指定して通信先のアプリケーションを指名する。
ポート番号を明示することで通信の制御が行いやすくなるからだ。だがこのような形でポート
を開放することは不特定の第三者に攻撃の隙を与えることも意味しており、通常は必要ない
ポートをファイアウォールやノード側で閉じておいたり、ポート番号を初期設定とは別のもの
にする、あるいは接続が発生するごとに動的に変更する手段が採られる。だがDNSの
サーバ同士の通信においては、ポートが初期設定、あるいは半固定の状態で運用されて
いるケースがほとんどで、ハッカーがこの性質を利用してDNSサーバを攻撃することが
可能となる。Kaminsky氏は「(ポート番号の数である)6万5,000分の1の確率で攻撃が可能だ。
こうした問題はほとんどのDNSサーバに存在しており、バグというよりは設計上の問題だ」
と指摘する。
>>3 以降へ続く
3 :2:2008/07/27(日) 00:06:15 ID:cHDtpu7J
>3以降に続く
4 :名前をあたえないでください:2008/07/27(日) 00:06:40 ID:j6sESCQZ
4get
5 :ぶーちゃん ◆UqNmZifrGc @釣りチルドレン12号(080731)φ ★:2008/07/27(日) 00:08:30 ID:???
>>2 の続き
各ベンダから提供されたパッチでは、通信ポートが固定状態にある問題に着目し、この接続
ポート番号のランダム性を高めることでハッカーによる攻撃成功確率を下げることを目的に
している。ほとんどのメジャーなDNSサーバ製品で対策パッチが出ているが、BINDを含む
旧バージョンの製品で対策が行われていないケースもあり、その場合にはバージョンアップ
が必要になる。また接続先ポートが毎回ランダムで変動するため、ファイアウォール等の
セキュリティ製品の設定を変更する必要がある。
同氏によれば、問題自体は2008年初頭の時点ですでに発見していたという。7月に初めて
脆弱性が公開されるまでの段階では、DNS製品をリリースする各ベンダに秘密裏に通知を
行い、対策パッチが登場するのを待つことに費やしていた。Black Hat開催まで1カ月と
なった7月9日、ネットワーク管理者らに対して脆弱性の存在を公開、管理者らのカバー
するDNSの脆弱性をテストし、至急パッチでの対策を促した。同氏としては対策が十分に
浸透した段階で、8月に改めて脆弱性の詳細を公開するつもりだったようだ。
だがセキュリティ研究者でBlack Hatでも登壇予定のHalvar Flake氏はKaminsky氏の
秘密主義を非難、脆弱性の詳細に関する同氏の考察を自身のBlog上で公開した。
こうした経緯もあり、Kaminsky氏は予定よりも早い24日の段階で全情報の公開に
踏み切ったものとみられる。
各ベンダから提供されたパッチでは、通信ポートが固定状態にある問題に着目し、この接続
ポート番号のランダム性を高めることでハッカーによる攻撃成功確率を下げることを目的に
している。ほとんどのメジャーなDNSサーバ製品で対策パッチが出ているが、BINDを含む
旧バージョンの製品で対策が行われていないケースもあり、その場合にはバージョンアップ
が必要になる。また接続先ポートが毎回ランダムで変動するため、ファイアウォール等の
セキュリティ製品の設定を変更する必要がある。
同氏によれば、問題自体は2008年初頭の時点ですでに発見していたという。7月に初めて
脆弱性が公開されるまでの段階では、DNS製品をリリースする各ベンダに秘密裏に通知を
行い、対策パッチが登場するのを待つことに費やしていた。Black Hat開催まで1カ月と
なった7月9日、ネットワーク管理者らに対して脆弱性の存在を公開、管理者らのカバー
するDNSの脆弱性をテストし、至急パッチでの対策を促した。同氏としては対策が十分に
浸透した段階で、8月に改めて脆弱性の詳細を公開するつもりだったようだ。
だがセキュリティ研究者でBlack Hatでも登壇予定のHalvar Flake氏はKaminsky氏の
秘密主義を非難、脆弱性の詳細に関する同氏の考察を自身のBlog上で公開した。
こうした経緯もあり、Kaminsky氏は予定よりも早い24日の段階で全情報の公開に
踏み切ったものとみられる。
6 :名前をあたえないでください:2008/07/27(日) 00:09:49 ID:ekuB3u7o
で、どうしろと?
7 :名前をあたえないでください:2008/07/27(日) 00:12:57 ID:FlANauK3
で、どしろうと
8 :名前をあたえないでください:2008/07/27(日) 00:18:54 ID:dVICZTpx
>>6-7
とりあえず、うんこ食え
とりあえず、うんこ食え
9 :名前をあたえないでください:2008/07/27(日) 00:34:25 ID:pcbl3rK1
これかなり問題になってるみたいだな
10 :名前をあたえないでください:2008/07/27(日) 00:41:10 ID:/r0ERc6w
もろじゃく
11 :名前をあたえないでください:2008/07/27(日) 00:53:37 ID:0cR+veJZ
新しいbind入れて対処おしまい、とりあえず
12 :名前をあたえないでください:2008/07/27(日) 00:58:36 ID:sd6Wspnn
俺は問題なかったな。
ダメな奴はプロバイダ変えろ
ダメな奴はプロバイダ変えろ
13 :名前をあたえないでください:2008/07/27(日) 01:02:12 ID:ylafgnIc
ヤマハルータの対策ファームまだー(ry
14 :名前をあたえないでください:2008/07/27(日) 01:23:18 ID:XjClsnHK
dnsサーバ同士が上位下位とやりとりする性質を利用してそこに悪意の第3者が乗っ取って、
別のサイトに誘導する事が可能とかそういうこと?
もういわゆるウェルノウンポートって使えなくなるの?
別のサイトに誘導する事が可能とかそういうこと?
もういわゆるウェルノウンポートって使えなくなるの?
15 :名前をあたえないでください:2008/07/27(日) 02:08:04 ID:1afrBUd1
不味いな・・・ 新手のフィッシング詐欺が横行するな
要するに正確にURLを叩いたのに偽サイトに行ってしまう可能性があるって言うことだろ?
多分・・・
要するに正確にURLを叩いたのに偽サイトに行ってしまう可能性があるって言うことだろ?
多分・・・
16 :名前をあたえないでください:2008/07/27(日) 03:12:07 ID:T86j3zvz
DNS認証が広まれば解決?
17 :名前をあたえないでください:2008/07/27(日) 04:07:21 ID:0IJqqfQX
まぁ拾い食いする奴が悪いと……
>>15
SSLの証明書までは偽造出来ない
SSLの証明書までは偽造出来ない