Debian セキュリティ勧告

DSA-1604-1 bind -- DNS キャッシュポイゾニング攻撃

報告日時:
2008-07-08
影響を受けるパッケージ:
bind
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2008-1447.
CERT の脆弱性リスト、勧告および付加情報: VU#800113.
詳細:

Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS 詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されま した。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイト に不正転送することが可能で、それ以外の攻撃手法もありえます。

BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポー トのランダム化。DSA-1603-1 参照) を実装することは困難です。以下の回避 策は可能です。

1. BIND 9、またはソースポートランダムか機能を持つ別の実装にアップグレ ードする。BIND 9 の添付文書に移行ガイドが含まれています。

2. BIND 8 リゾルバを、BIND 9 リゾルバにクエリを転送するように設定する。 リゾルバ間のネットワークが信用できる場合、これにより BIND 8 リゾルバを キャッシュポイゾニング攻撃から護る (BIND 9 リゾルバの保護と同程度に) ことができます。

この問題は、authoritative DNS サーバとして BIND 8 を使った場合には影響 がありません。理論上はこの方法で BIND 8 を安全に使うことは可能ですが、 それでも BIND 9 への移行を強く推奨します。BIND 8 (bind パッケージ) は、 将来の etch のポイントリリースで削除する予定です。