Ghost Domain 脆弱性まとめ
- yousukezan
- 6079
- 0
- 6
- 2
RT @hdais: やれやれ、こういうことをよく思いつくなぁ。ある意味「浸透問題」の応用問題だよね Ghost Domain Names: Revoked Yet Still Resolvable: http://t.co/yURxlsWu
2012-02-08 22:35:18というわけで、影響はBIND 9のみにとどまらず、ちょっと古いUnbound、PowerDNS recursor、Windows server 2008のDNSサービス、djbdns(dnscache)など、広い範囲に及ぶ模様。
2012-02-08 22:36:36論文を斜め読みした限りでは、件の脆弱性の悪影響は「上位ゾーンがそのゾーンに対する委任を消したとしても、当該ゾーンのキャッシュを消えないようにできる」ということのみに見える(未確認なので注意)。で、オープンリゾルバだと、攻撃者がその攻撃を外から簡単に仕掛けられる、と。
2012-02-08 22:41:31@hdais そのようですね。NSの名前を変えるがIPアドレスを変えない(つまり自分のコントロール下に置ける)というのが今回のポイントと。
2012-02-08 22:43:33で、今日の深夜に学会発表でこの情報が野に放たれる(既に論文は野に放たれているようですが)と。 http://t.co/wqVmo0re
2012-02-08 22:45:11これ、今の段階で出来る最も効果的な策は攻撃のリスクを下げるために「キャッシュDNSサーバーをオープンリゾルバでなくす」ということですね。「オープンリゾルバは危険」を更に裏付けたと。
2012-02-08 22:47:25@OrangeMorishita ここということで。> ■キャッシュDNS サーバーにおけるポイント ▼適切なアクセスコントロールの実施 http://t.co/OEBwYcDb
2012-02-08 22:53:53ただ、先程の私の見解 https://t.co/NmQQSMIA が仮に事実だったとすると(未確認なので注意)、使用中の名前を奪われるのではなく消えるはずのものが消えないというだけなので(続)
2012-02-08 23:01:06@OrangeMorishita (続き)オープンリゾルバでなくす、以外の対策については、今後の動きやパッチリリースの状況などを見つつ、進めていけばいいんじゃないかなと思ったりもする(あくまで個人的見解なので注意)。
2012-02-08 23:03:20あー CVE-2012-1033/Ghost Domain Names については @OrangeMorishita さんが呟いておられるので、そちらをご参照あれ。あたしなんかのより余程ためになるです。
2012-02-08 23:05:39オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:06:21@OrangeMorishita ども。今3章を斜め読みしたところですが、これは別の毒入れか何かと合わせ技にしないと悪用もしにくそうですね。4章の表には公開DNSではG**gleはinnocentだけど他はvulnerableとかBINDだけじゃない表とか。こんなに書いて大丈夫?
2012-02-08 23:20:12.@motok2501 たぶん、今日以降各実装とも対応してくるんではないかと。というか今回は論文なわけですが、色々と扱いが難しいですね。
2012-02-08 23:36:32何か見つかる度にこの台詞を見ているような気が・・・ QT @OrangeMorishita: オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:36:43あと何年言うのだろうか(とおいめ)。 QT @m7hi74rn: 何か見つかる度にこの台詞を見ているような気が・・・ QT オープンリゾルバでなくす、については、今回の脆弱性の重篤度如何にかかわらず、速やかな実施をば。
2012-02-08 23:38:13@OrangeMorishita 御意。ISCは良いとしてunboundはどうやらまだ何も反応していない模様(http://t.co/3DsJ22DBでghostとかCVE番号でhitなし。http://t.co/knKxyoAHにも記述なし) dnscacheは... 不明
2012-02-08 23:44:19対象はBIND 9だけではないです。6ページのTable 2と3を参照。 http://t.co/JNBTwGj5 QT @matsuu: bind9に脆弱性。修正版はまだ。
2012-02-09 10:30:13今回の脆弱性は私のツイートではとりあえず【Ghost Domain脆弱性】と勝手に名づけることにしよう。以降、関連情報はこれを頭につけてツイートするということで。
2012-02-09 10:43:17このページのバナー、You are using ... の方がいい気がします。Cc: @tss_ontap RT @WK6_8B: “For Risky DNS users” http://t.co/xwOYLgm0
2012-02-09 10:53:31@tss_ontap 英語的な違和感を覚えました(というほど英語できるわけではないですが)。
2012-02-09 10:57:08更新されたようだ。// Ghost Domain Names: Revoked Yet Still Resolvable | Internet Systems Consortium https://t.co/KBDSOqH8
2012-02-09 11:10:26.@ysatoru NSの取り扱いの件は浸透問題でも登場しますが、当該部分は仕様が明確ではないです。当該論文に「Policy」とあるぐらいで。カミンスキー型攻撃、浸透問題、今回のGhost Domain脆弱性、いずれもこの部分に関係しています。
2012-02-09 11:21:19*ISCは*パッチを出さないことにしたということのようです。他のaffectiveな実装がどうするのかはわからないです。 QT @sh_yamada: DNSのプロトコルそのものの影響なのでパッチはなし、と…
2012-02-09 11:24:15