---------------------------------------------------------------------------------
■(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
                                                                  2008/07/24(Thu)
---------------------------------------------------------------------------------

▼概要

  2008 年 7 月 9 日付で公開した注意喚起(*1) でお伝えした通り、複数の
  DNS ソフトウェアにおいて、キャッシュポイズニング攻撃が成立する脆弱性
  があり、既に各ソフトウェアベンダより、対応するためのパッチがリリース
  されています。
  
  当初、本脆弱性の詳細は海外のセキュリティ研究者により、2008 年 8 月に
  公表される予定となっておりました。しかし、2008 年 7 月 22 日にインター
  ネット上で本脆弱性の詳細が公開されたため、本脆弱性に対する攻撃の危険
  性が増大しており、既に、本脆弱性を使用した攻撃用プログラムの存在も確
  認されています。

  該当する DNS サーバソフトウェアを利用・運用しているユーザやシステム管
  理者の方々は、既にベンダからリリースされているパッチの適用等、速やかに
  適切な対応を取られることを強く推奨します。

  なお、本脆弱性の技術的な詳細、および各ベンダからのパッチ情報につきま
  しては、2008 年 7 月 9 日付の注意喚起(*1)をご参照ください。

  (*1)
  複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
  http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html

▼パッチ適用にあたっての留意点

  今回、各ベンダからリリースされたパッチでは、DNS 問合わせ元ポートのラ
  ンダム性を向上させることにより、キャッシュポイズニングが成立する確率
  を相対的に下げることを目的としています。

  そのため、パッチの適用後、従来は固定あるいは半固定であった DNS 問合わ
  せ元ポートが、問合わせ毎に変動するようになります。これにより、一部の
  ファイアウォールや IDS (Intrusion Detection System: 侵入検知システム)
  が誤動作や誤検知を起こすおそれがあるため、パッチの適用にあたり、その
  ようなことがないように留意する必要があります。

  また、BIND 等の一部ソフトウェアでは今回のパッチにより、DNS キャッシュ
  サーバのパフォーマンスが若干低下することが報告されております。通常の
  利用においては問題のない範囲ですが、パッチの適用にあたり、留意してお
  く必要があります。なお、BIND の開発元である ISC では現在、パフォーマ
  ンスの問題を解決するための緊急リリースを計画しているとの情報を得てい
  ます。

  また、一部の OS ではデフォルトの BIND の設定ファイルに、下記のような
  DNS 問合わせ元ポート番号を固定にするための設定が入っている場合があり
  ます。今回の対応では BIND のバージョンアップに合わせて、この設定を削
  除する必要があります。

    query-source port 53;
    query-source-v6 port 53;

  JPRSでは今後、本脆弱性に関連する情報を随時公開していく予定です。


---------------------------------------------------------------------
▼更新履歴
   2008-07-24 16:00 初版作成
   2008-07-24 19:00 内容を一部修正