US-CERTより:DNSの脆弱性
すでにスラッシュドットとかで目にしていた件ですが、キャッシュネームサーバに変なデータを突っ込むことが可能だという話のようです。つまりは別のサーバへユーザを誘導できるわけで、フィッシングとかパスワード奪取とかし放題です。
最近はWi-Fi環境で使われるネームサーバに対する信頼感がすでに低下しているような気がしますが、これに乗じた攻撃が華々しく行われれば、BINDに代わるシステムの台頭もあるかな、、という、変な期待をしてしまいます。たとえば、US-CERTのレポートでは「DNSSEC(RFC4033)が究極の解決方法だ」とも言及されているようです。
ところで、注意すべきは、パッチを当てると、設定ファイルが変更されることがあるようです。設定内容に問題があるからしょうがないとは思うのですが、プライマリのネームサーバを運用している場合には、設定の復旧が必要になると思われます。
他の注意点としては、
対策後には DNS サーバから問い合わせを行うポート番号がランダムに選ばれるようになるため、ファイアウォールなどで DNS サーバーからの通信が制限される可能性があります。つまり、アクセス制限を、どちらもport番号53とかに決め打ちにしているとネームサーバが動かなくなる、と。
- Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning
- セキュリティホール memo
インパクトがあるのは、BIND、そしてMicrosoft, CISCO, Juniper Networksとか、bind cloneと思われるものはほとんど。スラッシュドットではお約束のごとく「djbdnsは大丈夫でした」とのこと。
手元のCentOS5のネームサーバでは
bindは9.3でした。
とりあえずyum update bindしてみます。...
で、手元の鯖はnamed(bind9.3)はchrootした設定なのですが、rpmのupdateでは肝心のchroot先をいじっていないような気がしたけど、一応symbolic linkされている部分をパッチしてました。
Running Transaction Updating : bind-libs ####################### [ 1/10] Updating : bind [ 2/10]warning: /etc/sysconfig/named created as /etc/sysconfig/named.rpmnew Updating : bind ####################### [ 2/10] Updating : bind-chroot ####################### [ 3/10] Updating : caching-nameserver [ 4/10]warning: /etc/named.caching-nameserver.conf saved as /etc/named.caching-nameserver.conf.rpmsave Updating : caching-nameserver # [ 4/10]warning: /etc/named.rfc1912.zones saved as /etc/named.rfc1912.zones.rpmsave Updating : caching-nameserver #################### [ 4/10]warning: /var/named/localdomain.zone saved as /var/named/localdomain.zone.rpmsave Updating : caching-nameserver #################### [ 4/10]warning: /var/named/localhost.zone saved as /var/named/localhost.zone.rpmsave Updating : caching-nameserver #################### [ 4/10]warning: /var/named/named.broadcast saved as /var/named/named.broadcast.rpmsave Updating : caching-nameserver ###################### [ 4/10]warning: /var/named/named.ca saved as /var/named/named.ca.rpmsave Updating : caching-nameserver ###################### [ 4/10]warning: /var/named/named.ip6.local saved as /var/named/named.ip6.local.rpmsave Updating : caching-nameserver ###################### [ 4/10]warning: /var/named/named.local saved as /var/named/named.local.rpmsave Updating : caching-nameserver ###################### [ 4/10]warning: /var/named/named.zero saved as /var/named/named.zero.rpmsave Updating : caching-nameserver ####################### [ 4/10] Updating : bind-utils ####################### [ 5/10] Cleanup : bind-chroot ####################### [ 6/10] Cleanup : bind-libs ####################### [ 7/10] Cleanup : bind ####################### [ 8/10] Cleanup : caching-nameserver ####################### [ 9/10] Cleanup : bind-utils ####################### [10/10]
自分がプライマリとして外部に発信してる情報は大丈夫みたい、、、多分。
