Debian セキュリティ勧告

DSA-1623-1 dnsmasq -- DNS キャッシュポイゾニング

報告日時:

2008-07-31

影響を受けるパッケージ:

dnsmasq

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2008-1447.

詳細:

Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS 詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されました。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイトに不正転送することが可能で、それ以外の攻撃手法もありえます。

この更新では、Debian の dnsmasq パッケージに、推奨された対処である UDP ソースポートランダム化を適用したものです。この変更は攻撃者が推定しなければならない問題空間を後方互換な形で拡大し、攻撃が成功する可能性を大きく下げます。

この更新では、乱数発生器を Dan Bernstein 氏の SURF に切り変えています。

安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 2.35-1+etch4 で修正されています。alpha 向け修正は後日提供予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.43-1 で修正されています。

直ぐに dnsmasq パッケージをアップグレードすることを勧めます。

修正:

ソース:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4.dsc; http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35.orig.tar.gz; http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4.diff.gz
AMD64:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。