[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.720)



=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 720
  Commiter: henrich
      Date: 2008-08-08 19:56:34 +0900 (金, 08  8月 2008)
=======================================================
Log:

 - more detail... 


=======================================================
Changed:

U   www/trunk/blosxom/data/dns_cache_poisoning.d

Modified: www/trunk/blosxom/data/dns_cache_poisoning.d
===================================================================
--- www/trunk/blosxom/data/dns_cache_poisoning.d	2008-08-08 10:27:54 UTC (rev 719)
+++ www/trunk/blosxom/data/dns_cache_poisoning.d	2008-08-08 10:56:34 UTC (rev 720)
@@ -6,7 +6,7 @@
 ご存知の通り、DNS はインターネットの根幹を成す技術の一つであり、この信頼性が失われることは多大な問題をもたらします。DNS キャッシュサーバを運用されている方は自身のキャッシュサーバが安全かどうかの確認を、インターネット利用者の方は自分が使っている DNS キャッシュサーバが安全かをブラウザにて<a href="https://www.dns-oarc.net/oarc/services/dnsentropy";>DNS Operations, Analysis, and Research Center (DNS-OARC) のページ</a>にて確認ください (ページの中程に「Test」の文字がありますので、そちらをクリックすれば結果が判ります。利用者の方で安全でない結果が出た場合はプロバイダあるいは運用機関に早急に対応が必要な旨の苦情を述べましょう。話が全く通じない、変更を実施しようとしない場合はプロバイダの変更を検討された方が良いかもしれません…)。</p>
 <p>
 Debian サーバ管理者への情報となりますが、<a href="http://packages.debian.org/bind";>bind パッケージ (bind8)</a> については、既に<a href="http://www.debian.org/security/2008/dsa-1604";>セキュリティ勧告 (DSA-1604)</a> で報告されているように「BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポートのランダム化) を実装することは困難であり、早急に BIND 9 への移行を推奨する」ものとなっています。つまり、<strong>bind パッケージを利用した DNS キャッシュサーバは危険</strong>です。<br>
-<a href="http://packages.debian.org/bind9";>bind9 パッケージ</a>については同様に<a href="http://www.debian.org/security/2008/dsa-1603";>セキュリティ勧告 (DSA-1603)</a> の詳細の通り、対応のためのパッチは摘要されていますが、以前のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていましたので、必ず勧告文を参照して<strong>通常のパッケージ更新以外の作業が必要であり、完了の確認が必要である</strong>ことを確認ください。<br>
+<a href="http://packages.debian.org/bind9";>bind9 パッケージ</a>については同様に<a href="http://www.debian.org/security/2008/dsa-1603";>セキュリティ勧告 (DSA-1603)</a> の詳細の通り、対応のためのパッチは摘要されていますが、以前の named.conf のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていたことがありますので、必ず勧告文を参照して<strong>通常のパッケージ更新以外の作業が必要であり、完了の確認が必要である</strong>ことを確認ください。<br>
 なお、同様にメジャーな DNS サーバソフト djbdns の dnscache には今回の件での対応は現状必要とされていません。他の DNS サーバソフトについて、確認を行いたい場合は、US-CERTの「<a href="https://www.kb.cert.org/vuls/id/800113";>Multiple DNS implementations vulnerable to cache poisoning (VU#800113) (7/8)</a>」の Vendor 一覧でチェックするか、ソフトウェアの開発元 (upstream) に直接コンタクトを取るなどすると良いでしょう。</p>
 <p>
 また、東海地区ではこの問題について協議するため、東海インターネット協議会が