blob: 58e5078051ddf7264ee62787f5faf49676856df3 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9"
<define-tag description>DNS キャッシュポイゾニング攻撃</define-tag>
<define-tag moreinfo>
<p>Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS
詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されま
した。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイト
に不正転送することが可能で、それ以外の攻撃手法もありえます。</p>
<p>この更新では Debian の BIND 9 パッケージに推奨された対応策 (UDP クエリ
ソースポートのランダム化) を実装しました。この変更は攻撃者が推定しなけ
ればならない探索空間のサイズを、後方互換性を守る形で拡大し、攻撃の成功
を困難にします。</p>
<p>このセキュリティアップデートは、BIND ネットワークの挙動を根本的に変更
します。このため、スムーズな移行のため以下の手順をお勧めします。</p>
<p>1. ネットワークの構成が、ソースポートランダム化を許しているかどうかを
確認してください。もしリゾルバをステートレスパケットフィルタで保護し
ている場合、DNS 以外のサービスが 1024--65535 UDP ポート範囲をリスンし
ていないことを確認して、その範囲をパケットフィルタで通すようにしてく
ださい。例えば、Linux 2.6.18 カーネルを使った etch のパケットフィルタ
は、IPv6 パケットに対してステートレスフィルタ機能のみが提供されていま
すから、この問題が発生します (IPv4 を iptable で ESTABLISHED ルールの
みで使っている場合、ネットワークの変更は多分不要です)。</p>
<p>2. BIND 9 を "apt-get update" の実行後、"apt-get install bind9" を実
行して更新します。named プロセスが再起動されて、再帰クエリに反応する
ことを確認してください (もし全てのクエリがタイムアウトになるなら、ネ
ットワークの変更が必要です。最初の項を見てください)。</p>
<p>3. ソースポートランダムかが有効になっていることを確認してください。
/var/log/daemon.log で、BIND の立ち上げ時の
"listening on IPv6 interface" や "listening on IPv4 interface" のメッ
セージの直後に、以下のような形式のメッセージがはかれていないことをチェ
ックしてください。</p>
<pre>named[6106]: /etc/bind/named.conf.options:28: using specific query-source port suppresses port randomization and can be insecure.</pre>
<p>このようなメッセージが吐かれている場合、設定から対象となる行を削除する
か、記載されているポート番号を "*" に置き換えてください (例えば、
"port 53" を "port *" に書き換える)。</p>
<p>追加の確認のためには、UDP ソースポートが変化していることを tcpdump など
のネットワークもにたツールで確認してください。リゾルバの前に NAT デバイ
スがある場合、NAT によりソースポートランダム性が損なわれていないかを確
認してください。</p>
<p>4. ソースポートランダム化を有効にできない場合、BIND 9 を OpenVPN のよう
な VPN を使ってクエリを実行できるリゾルバにフォワードを行うよう設定して
ください。これにより、必要な信用できるネットワークが実現できます (これ
については BIND の forward-only を使ってください)。</p>
<p>Debian で提供されている他の DNS キャッシュリゾルバ (PowerDNS, MaraDNS,
Unbound) は既にソースポートランダム化をおこなっており、パッケージの更新
は必要ありませ塩。BIND 9.5 までと、バージョン 1:9.5.0.dfsg-4 まではソー
スポートランダム化を弱い形でしか実装しておらず、更新が必要です。BIND 8
については <a href="dsa-1604">DSA-1604-1</a> を、libc スタブリゾルバについては <a href="dsa-1605">DSA-1605-1</a> を参
照ください。</p>
<p>この bind9 パッケージの更新には、次回の安定版のポイントリリースで含める
予定だった修正が含まれています。それには、L.ROOT-SERVERS.NET (Debian
bug #<a href="https://bugs.debian.org/449148">449148</a>) の IP アドレス変更などが含まれています。</p>
<p>安定版 (stable) ディストリビューション (etch) では、この問題はバージョン
9.3.4-2etch3 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修
正予定です。</p>
<p>直ぐに bind9 パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1603.data"
# $Id$
|
