Ghost Domain 脆弱性まとめ
-
yousukezan
- 6079
- 0
- 6
- 2
-
- いいね!2
Yasuhiro Morishita
@OrangeMorishita
RT @hdais: やれやれ、こういうことをよく思いつくなぁ。ある意味「浸透問題」の応用問題だよね Ghost Domain Names: Revoked Yet Still Resolvable: http://t.co/yURxlsWu
2012-02-08 22:35:18
Yasuhiro Morishita
@OrangeMorishita
というわけで、影響はBIND 9のみにとどまらず、ちょっと古いUnbound、PowerDNS recursor、Windows server 2008のDNSサービス、djbdns(dnscache)など、広い範囲に及ぶ模様。
2012-02-08 22:36:36
Yasuhiro Morishita
@OrangeMorishita
論文を斜め読みした限りでは、件の脆弱性の悪影響は「上位ゾーンがそのゾーンに対する委任を消したとしても、当該ゾーンのキャッシュを消えないようにできる」ということのみに見える(未確認なので注意)。で、オープンリゾルバだと、攻撃者がその攻撃を外から簡単に仕掛けられる、と。
2012-02-08 22:41:31
Yasuhiro Morishita
@OrangeMorishita
@hdais そのようですね。NSの名前を変えるがIPアドレスを変えない(つまり自分のコントロール下に置ける)というのが今回のポイントと。
2012-02-08 22:43:33
Yasuhiro Morishita
@OrangeMorishita
で、今日の深夜に学会発表でこの情報が野に放たれる(既に論文は野に放たれているようですが)と。 http://t.co/wqVmo0re
2012-02-08 22:45:11
Yasuhiro Morishita
@OrangeMorishita
これ、今の段階で出来る最も効果的な策は攻撃のリスクを下げるために「キャッシュDNSサーバーをオープンリゾルバでなくす」ということですね。「オープンリゾルバは危険」を更に裏付けたと。
2012-02-08 22:47:25
Yasuhiro Morishita
@OrangeMorishita
@OrangeMorishita ここということで。> ■キャッシュDNS サーバーにおけるポイント ▼適切なアクセスコントロールの実施 http://t.co/OEBwYcDb
2012-02-08 22:53:53
Yasuhiro Morishita
@OrangeMorishita
ただ、先程の私の見解 https://t.co/NmQQSMIA が仮に事実だったとすると(未確認なので注意)、使用中の名前を奪われるのではなく消えるはずのものが消えないというだけなので(続)
2012-02-08 23:01:06
Yasuhiro Morishita
@OrangeMorishita
@OrangeMorishita (続き)オープンリゾルバでなくす、以外の対策については、今後の動きやパッチリリースの状況などを見つつ、進めていけばいいんじゃないかなと思ったりもする(あくまで個人的見解なので注意)。
2012-02-08 23:03:20
moto kawasaki
@motok2501
あー CVE-2012-1033/Ghost Domain Names については @OrangeMorishita さんが呟いておられるので、そちらをご参照あれ。あたしなんかのより余程ためになるです。
2012-02-08 23:05:39
Yasuhiro Morishita
@OrangeMorishita
オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:06:21
moto kawasaki
@motok2501
@OrangeMorishita ども。今3章を斜め読みしたところですが、これは別の毒入れか何かと合わせ技にしないと悪用もしにくそうですね。4章の表には公開DNSではG**gleはinnocentだけど他はvulnerableとかBINDだけじゃない表とか。こんなに書いて大丈夫?
2012-02-08 23:20:12
Yasuhiro Morishita
@OrangeMorishita
.@motok2501 たぶん、今日以降各実装とも対応してくるんではないかと。というか今回は論文なわけですが、色々と扱いが難しいですね。
2012-02-08 23:36:32
Y.M.
@m7hi74rn
何か見つかる度にこの台詞を見ているような気が・・・ QT @OrangeMorishita: オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:36:43
Yasuhiro Morishita
@OrangeMorishita
あと何年言うのだろうか(とおいめ)。 QT @m7hi74rn: 何か見つかる度にこの台詞を見ているような気が・・・ QT オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:38:13
moto kawasaki
@motok2501
@OrangeMorishita 御意。ISCは良いとしてunboundはどうやらまだ何も反応していない模様(http://t.co/3DsJ22DBでghostとかCVE番号でhitなし。http://t.co/knKxyoAHにも記述なし) dnscacheは... 不明
2012-02-08 23:44:19
Yasuhiro Morishita
@OrangeMorishita
対象はBIND 9だけではないです。6ページのTable 2と3を参照。 http://t.co/JNBTwGj5 QT @matsuu: bind9に脆弱性。修正版はまだ。
2012-02-09 10:30:13
Yasuhiro Morishita
@OrangeMorishita
今回の脆弱性は私のツイートではとりあえず【Ghost Domain脆弱性】と勝手に名づけることにしよう。以降、関連情報はこれを頭につけてツイートするということで。
2012-02-09 10:43:17
Yasuhiro Morishita
@OrangeMorishita
このページのバナー、You are using ... の方がいい気がします。Cc: @tss_ontap RT @WK6_8B: “For Risky DNS users” http://t.co/xwOYLgm0
2012-02-09 10:53:31
Yasuhiro Morishita
@OrangeMorishita
@tss_ontap 英語的な違和感を覚えました(というほど英語できるわけではないですが)。
2012-02-09 10:57:08
Yasuhiro Morishita
@OrangeMorishita
更新されたようだ。// Ghost Domain Names: Revoked Yet Still Resolvable | Internet Systems Consortium https://t.co/KBDSOqH8
2012-02-09 11:10:26
Yasuhiro Morishita
@OrangeMorishita
.@ysatoru NSの取り扱いの件は浸透問題でも登場しますが、当該部分は仕様が明確ではないです。当該論文に「Policy」とあるぐらいで。カミンスキー型攻撃、浸透問題、今回のGhost Domain脆弱性、いずれもこの部分に関係しています。
2012-02-09 11:21:19
Yasuhiro Morishita
@OrangeMorishita
*ISCは*パッチを出さないことにしたということのようです。他のaffectiveな実装がどうするのかはわからないです。 QT @sh_yamada: DNSのプロトコルそのものの影響なのでパッチはなし、と…
2012-02-09 11:24:15