複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
                                                      2008/08/11(Mon)
                                          (※ 脆弱性の詳細情報を更新)
---------------------------------------------------------------------

▼概要

  複数のDNSソフトウェアにおいて、キャッシュポイズニングが成立する脆弱性
  があり、各ソフトウェアベンダより対応するためのパッチがリリースされま
  した。本脆弱性は危険度が高いため、該当するソフトウェアを利用している
  ユーザは、関連情報の収集と適切な対応を取ることを推奨します。

  なお、後述の通り本脆弱性はDNSプロトコル上の特性に起因するものであり、
  パッチの適用により、キャッシュポイズニングが成立する確率を低くするも
  のです。

▼詳細

  本脆弱性は、DNSクエリのIDが16ビットしかないプロトコル上の制限に加え、
  DNSソフトウェアがキャッシュサーバとして動作する際、問い合わせを送信す
  る際のソースポートを固定している場合、キャッシュポイズニングが成立す
  る確率が高くなる問題です。

  本脆弱性の詳細については、US-CERTからの脆弱性情報(*1) およびJANOG19
  におけるJPRS発表資料(*2)をご参照ください。

  (*1) US-CERT
       Vulnerability Note VU#800113
       Multiple DNS implementations vulnerable to cache poisoning
       http://www.kb.cert.org/vuls/id/800113

  (*2) JANOG19 JPRS 民田発表資料
       これでいいのかTTL - 短いDNS TTLのリスクを考える
       http://www.janog.gr.jp/meeting/janog19/files/DNS_Minda.pdf

▼対策

  本脆弱性に対する対策として、各DNSソフトウェアベンダからリリースされる
  パッチの適用や、対策済のDNSソフトウェアへの更新が挙げられます。ただし
  本脆弱性はDNSのクエリIDのビット数が16ビットしかないという、DNSプロト
  コルの制限に起因しているため、今回の対策では、キャッシュポイズニング
  が成立する確率をできる限り低くすることが目的となります。

  また、US-CERT からの脆弱性情報にも解説されているように、DNSキャッシュ
  サーバへの外部からのアクセスを制限することや、必要のないサーバにおけ
  るDNS再帰検索機能の無効化も、本脆弱性に対する対策として有効です。


▼各ベンダからの脆弱性の情報・パッチリリース

  (※ BIND 9.5.0-P2, 9.4.2-P2, 9.3.5-P2 リリースに伴いパッチ情報の更新を
      行いました。)

  以下に主なベンダから発表されているパッチ等の情報を記載します。ここに
  記載のないソフトウェアにおいても、各ソフトウェアベンダのWebや、
  US-CERTの情報(*1)をご確認の上、適切な対応をお願いいたします。

  * ISC
    CERT VU#800113 DNS Cache Poisoning Issue
    http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php

    ISC BIND patch release
 
    - BIND 9.3.5-P2
    ftp://ftp.isc.org/isc/bind9/9.3.5-P2/bind-9.3.5-P2.tar.gz
    - BIND 9.4.2-P2
    ftp://ftp.isc.org/isc/bind9/9.4.2-P2/bind-9.4.2-P2.tar.gz
    - BIND 9.5.0-P2
    ftp://ftp.isc.org/isc/bind9/9.5.0-P2/bind-9.5.0-P2.tar.gz
    - BIND 9.4.3b2
    ftp://ftp.isc.org/isc/bind9/9.4.3b2/bind-9.4.3b2.tar.gz
    - BIND 9.5.1b1
    ftp://ftp.isc.org/isc/bind9/9.5.1b1/bind-9.5.1b1.tar.gz


  * Microsoft
    Microsoft Security Bulletin MS08-037 ? Important
    Vulnerabilities in DNS Could Allow Spoofing (953230)
    http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx


  * Cisco
    Cisco Security Advisory: 
    Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks

    http://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml


▼参考情報

 (緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)(JPRS)
 http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html

 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性(JPCERT/CC)
 http://www.jpcert.or.jp/at/2008/at080013.txt

 複数のDNS実装におけるキャッシュポイズニングの脆弱性について(JPNIC)
 http://www.nic.ad.jp/ja/topics/2008/20080709-02.html

---------------------------------------------------------------------
▼更新履歴
   2008-07-09 12:40 初版作成
   2008-07-09 14:21 各ベンダからの脆弱性の情報・パッチリリースに
                    BIND 9.5.0-P1 及び BIND 9.5.1b1 のリンクを追加
   2008-07-24       参考情報を追加
   2008-08-05       パッチリリースの情報を更新
   2008-08-11       脆弱性の詳細情報を更新