情報処理推進機構:情報セキュリティ: 複数の DNS 製品の脆弱性について(情報元のブックマーク数)
BIND 9.4.1-9.4.2 Remote DNS Cache Poisoning Flaw Exploit (meta) - まっちゃだいふくの日記★とれんどふりーく★でも書きましたが、IPAもDNSキャッシュポリューションに警告を出していますね。
攻撃者が巧妙に細工した DNS データを DNS 製品に送付することで、登録されている DNS 情報を改ざんされる可能性があります。 これにより正規の通信を不正なコンピュータに接続するために利用され、フィッシング攻撃などに悪用される可能性があります。
複数の DNS 製品の脆弱性について:IPA 独立行政法人 情報処理推進機構
この脆弱性を悪用した攻撃コードが既に公開されているため、至急、修正プログラムを適用して下さい。
DNSの最新版に早くしましょう!!!
「手元のDNSサーバのバージョンや設定をチェックし、必要ならば至急パッチの適用を」――7月22日以降、複数のセキュリティ組織やベンダが、改めてDNSサーバの脆弱性に対する注意を喚起している。
DNSサーバの脆弱性、「パッチの即時適用」を改めて呼び掛け − @IT
既にPoCもExploitも出ていますよ!!!!
- BIND 9.4.1-9.4.2 Remote DNS Cache Poisoning Flaw Exploit (meta) - まっちゃだいふくの日記★とれんどふりーく★
- BIND 9.x Remote DNS Cache Poisoning Flaw Exploit (py)(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★
問題を悪化させているのは、脆弱性に関する詳細な情報が公開されてしまったことだ。当初、8月に行われる「Black Hat」カンファレンスで詳細が発表される予定だったが、それに先立つ7月22日、インターネット上で脆弱性の詳細が公開されてしまった。これを見た攻撃者が、早速攻撃コードに転用する可能性がある。
DNSサーバの脆弱性、「パッチの即時適用」を改めて呼び掛け − @IT
やっぱり、JPNIC情報が正しいw
既報の通り、 複数のDNS実装にキャッシュポイズニングの脆弱性があることが発表されています。 この脆弱性に対し各ベンダより修正パッチがリリースされています。
複数のDNS実装におけるキャッシュポイズニングの脆弱性について(続報) - JPNIC
本脆弱性の詳細については2008年8月に公開される予定でしたが、 2008年7月22日に誤って公開されました。 すでに実証コードも存在しており、 本脆弱性をターゲットにした攻撃が懸念されます。
修正後の確認も必須ですね。確かに。。。
目先の問題もパッチの適用と再起動だけで住む話ではない。例えばDebian JP Projectのサイトでは、BINDパッケージについての詳細なセキュリティ情報が確認できる。パッチの適用後、問題が解決したかを確認するため、クエリごとにUDPソースポートが変化しているかどうか、または、リゾルバの前にNATデバイスがある場合、NATによってソースポートのランダム性が損なわれていないかなどを確認する必要があるとしている。そのほか、Debian GNU/LinuxやFedoraでは、クエリのソースポートを固定する「query-sourceport 53;」「query-source-v6 port 53;」といった設定がnamed.confに記述されている可能性がある。この場合、該当行を削除するか、記載されているポート番号を「*」に置き換える必要があるとしている。
初夏にネームサーバ管理者を襲う「毒混入事件」 - ITmedia エンタープライズ
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
http://blogs.technet.com/jpsecurity/archive/2008/07/25/3093567.aspx
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。
Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。
また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています
Microsoft Updateを停止するワームが出ているそうですよ。要注意ですね。赤くなったら本当に要注意ですね。
http://blogs.technet.com/jpsecurity/archive/2008/07/25/3093567.aspxMicrosoft Updateを妨害するワーム
この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。
また、MS08-037 を更新して、3つの既知の問題情報を追加しました。詳細は、サポート技術情報 953230 を見てもらいたいのですが、簡単に紹介しておきます。
http://blogs.technet.com/jpsecurity/archive/2008/07/26/3093805.aspx
- ポートの競合問題
- SBS 環境に、この更新プログラムをインストールすると、どのような問題が起こる可能性がありますか?
- Windows Small Business Server (SBS) 2003 で、SBS のシステムがサービスを停止する、または正しく動作しない可能性がある。詳細は、サポート技術情報 956189 。
- 境界ファイアウォールおよび境界の NAT デバイスに関する現象
- DNSの脆弱性の脅威が増大、MSが「MS08-037」適用呼びかけ
- JPCERT/CC、複数社のDNSサーバのキャッシュポイズニング脆弱性について注意喚起:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2008/07/25
関連URL
- DNS vulnerability exploits released - Calendar Of Updates
- Metasploit releases double-whammy for DNS
- DNSキャッシュポイゾニング、各ネームサーバの対応が話題に - ITmedia エンタープライズ
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- US-CERT Current Activity
- セキュリティホール memo
- RealPlayer update fixes critical security holes - Calendar Of Updates