[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.725)

=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 725
  Commiter: henrich
      Date: 2008-08-11 00:08:57 +0900 (月, 11  8月 2008)
=======================================================
Log:

 - update information for DNS Cache Poisoning issue (a little).


=======================================================
Changed:

U   www/trunk/blosxom/data/dns_cache_poisoning.d
U   www/trunk/src/css/debianjp.css

Modified: www/trunk/blosxom/data/dns_cache_poisoning.d
===================================================================
--- www/trunk/blosxom/data/dns_cache_poisoning.d	2008-08-09 01:38:35 UTC (rev 724)
+++ www/trunk/blosxom/data/dns_cache_poisoning.d	2008-08-10 15:08:57 UTC (rev 725)
@@ -6,7 +6,7 @@
 ご存知の通り、DNS はインターネットの根幹を成す技術の一つであり、この信頼性が失われることは多大な問題をもたらします。DNS キャッシュサーバを運用されている方は自身のキャッシュサーバが安全かどうかの確認を、インターネット利用者の方は自分が使っている DNS キャッシュサーバが安全かを<strong>ブラウザにて<a href="https://www.dns-oarc.net/oarc/services/dnsentropy";>DNS Operations, Analysis, and Research Center (DNS-OARC) のページ</a>にて確認ください (ページの中程に「Test My DNS」の文字があります</strong>ので、そちらをクリックすれば結果が判ります。利用者の方で安全でない結果が出た場合はプロバイダあるいは運用機関に早急に対応が必要な旨の苦情を述べましょう。話が全く通じない、変更を実施しようとしない場合はプロバイダの変更を検討された方が良いかもしれません…)。</p>
 <p>
 Debian サーバ管理者への情報となりますが、<a href="http://packages.debian.org/bind";>bind パッケージ (bind8)</a> については、既に<a href="http://www.debian.org/security/2008/dsa-1604";>セキュリティ勧告 (DSA-1604)</a> で報告されているように「BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポートのランダム化) を実装することは困難であり、早急に BIND 9 への移行を推奨する」ものとなっています。つまり、<strong>bind パッケージを利用した DNS キャッシュサーバは危険</strong>です。<br>
-<a href="http://packages.debian.org/bind9";>bind9 パッケージ</a>については同様に<a href="http://www.debian.org/security/2008/dsa-1603";>セキュリティ勧告 (DSA-1603)</a> の詳細の通り、対応のためのパッチは適用されていますが、以前の named.conf のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていたことがありますので、必ず勧告文を参照して<strong>通常のパッケージ更新以外の作業が必要であり、完了の確認が必要である</strong>ことを確認ください。<br>
+<a href="http://packages.debian.org/bind9";>bind9 パッケージ</a>については同様に<a href="http://www.debian.org/security/2008/dsa-1603";>セキュリティ勧告 (DSA-1603)</a> の詳細の通り、対応のためのパッチは適用されていますが、以前の named.conf のデフォルト設定では危険となる要素である「query-source port 53;」あるいは「query-source-v6 port 53;」文が設定されていたことがありますので、必ず<a href="http://www.debian.org/security/2008/dsa-1603";>勧告文を参照</a>して<strong class="attention">通常のパッケージ更新以外の作業が必要であり、完了の確認が必要である</strong>ことを確認ください。<br>
 なお、同様にメジャーな DNS サーバソフト djbdns の dnscache には今回の件での対応は現状必要とされていません。他の DNS サーバソフトについて、確認を行いたい場合は、US-CERTの「<a href="https://www.kb.cert.org/vuls/id/800113";>Multiple DNS implementations vulnerable to cache poisoning (VU#800113) (7/8)</a>」の Vendor 一覧でチェックするか、ソフトウェアの開発元 (upstream) に直接コンタクトを取るなどすると良いでしょう。</p>
 <p>
 また、東海地区ではこの問題について協議するため、東海インターネット協議会が

Modified: www/trunk/src/css/debianjp.css
===================================================================
--- www/trunk/src/css/debianjp.css	2008-08-09 01:38:35 UTC (rev 724)
+++ www/trunk/src/css/debianjp.css	2008-08-10 15:08:57 UTC (rev 725)
@@ -114,6 +114,12 @@
 	font-style: normal;
 }
 
+strong.attention {
+	background-color: #ffc0c0;
+	font-weight: bold;
+	font-style: normal;
+}
+
 hr {
 	visibility: hidden;
 }