[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Debian JP master SVN www commits (rev.722)
=======================================================
Repository: /org/svn.debian.or.jp/repos
Revision: 722
Commiter: henrich
Date: 2008-08-08 20:27:18 +0900 (金, 08 8月 2008)
=======================================================
Log:
- tweak article.
=======================================================
Changed:
U www/trunk/blosxom/data/dns_cache_poisoning.d
Modified: www/trunk/blosxom/data/dns_cache_poisoning.d
===================================================================
--- www/trunk/blosxom/data/dns_cache_poisoning.d 2008-08-08 10:58:05 UTC (rev 721)
+++ www/trunk/blosxom/data/dns_cache_poisoning.d 2008-08-08 11:27:18 UTC (rev 722)
@@ -3,7 +3,7 @@
<p>
各種メディアで既に何度も報じられていますが、セキュリティ技術者 Dan Kaminsky 氏によって DNS プロトコルそのものに起因する深刻な脆弱性が発見されており、先日 8 月 6 日の BlackHat カンファレンスにて正式公開されました (この問題の原理について最も解り易い日本語資料が<a href="http://www.nttv6.net/files/DKA-20080723.pdf">「DNS Cache Poisoningの概要と対処 (PDF)」</a> として公開されています)。現在、DNS キャッシュサーバに対して攻撃可能なツールが出回っている状態となっています。</p>
<p>
-ご存知の通り、DNS はインターネットの根幹を成す技術の一つであり、この信頼性が失われることは多大な問題をもたらします。DNS キャッシュサーバを運用されている方は自身のキャッシュサーバが安全かどうかの確認を、インターネット利用者の方は自分が使っている DNS キャッシュサーバが安全かをブラウザにて<a href="https://www.dns-oarc.net/oarc/services/dnsentropy">DNS Operations, Analysis, and Research Center (DNS-OARC) のページ</a>にて確認ください (ページの中程に「Test」の文字がありますので、そちらをクリックすれば結果が判ります。利用者の方で安全でない結果が出た場合はプロバイダあるいは運用機関に早急に対応が必要な旨の苦情を述べましょう。話が全く通じない、変更を実施しようとしない場合はプロバイダの変更を検討された方が良いかもしれません…)。</p>
+ご存知の通り、DNS はインターネットの根幹を成す技術の一つであり、この信頼性が失われることは多大な問題をもたらします。DNS キャッシュサーバを運用されている方は自身のキャッシュサーバが安全かどうかの確認を、インターネット利用者の方は自分が使っている DNS キャッシュサーバが安全かを<strong>ブラウザにて<a href="https://www.dns-oarc.net/oarc/services/dnsentropy">DNS Operations, Analysis, and Research Center (DNS-OARC) のページ</a>にて確認ください (ページの中程に「Test My DNS」の文字があります</strong>ので、そちらをクリックすれば結果が判ります。利用者の方で安全でない結果が出た場合はプロバイダあるいは運用機関に早急に対応が必要な旨の苦情を述べましょう。話が全く通じない、変更を実施しようとしない場合はプロバイダの変更を検討された方が良いかもしれません…)。</p>
<p>
Debian サーバ管理者への情報となりますが、<a href="http://packages.debian.org/bind">bind パッケージ (bind8)</a> については、既に<a href="http://www.debian.org/security/2008/dsa-1604">セキュリティ勧告 (DSA-1604)</a> で報告されているように「BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポートのランダム化) を実装することは困難であり、早急に BIND 9 への移行を推奨する」ものとなっています。つまり、<strong>bind パッケージを利用した DNS キャッシュサーバは危険</strong>です。<br>
<a href="http://packages.debian.org/bind9">bind9 パッケージ</a>については同様に<a href="http://www.debian.org/security/2008/dsa-1603">セキュリティ勧告 (DSA-1603)</a> の詳細の通り、対応のためのパッチは摘要されていますが、以前の named.conf のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていたことがありますので、必ず勧告文を参照して<strong>通常のパッケージ更新以外の作業が必要であり、完了の確認が必要である</strong>ことを確認ください。<br>