JVNTA08-190B
複数の DNS 実装にキャッシュポイズニングの脆弱性
緊急

複数の DNS 実装にキャッシュポイズニング攻撃が容易になる脆弱性があります。

ベンダの提供する情報を参照してください。

キャッシュポイズニングは、攻撃者が DNS キャッシュサーバのキャッシュを偽造した DNS 情報に書き換える攻撃手法です。

最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。 DNS キャッシュサーバが対象になるとともに、PC なども攻撃対象になる可能性があることに注意してください。

キャッシュポイズニング攻撃は、偽造したresponseパケットを送り込むことにより行われます。query パケットの送信元ポートを query ごとにランダムに変更することにより、キャッシュポイズニング攻撃が成功する確率を小さくすることができます。

キャッシュポイズニング攻撃により DNS キャッシュサーバに偽のDNS情報をキャッシュさせることができ、その DNS キャッシュサーバを使っているノードが、偽のサイトに誘導される可能性があります。

パッチを適用する
お使いの製品ベンダから提供されているパッチを適用してください。

サーバ製品だけでなく、ネームサーバに query を投げる側のノードに対してもパッチが提供されていないかご確認ください。

アクセスを制限する
recursive query を受け付ける IP アドレスを制限することで、ある程度キャッシュポイズニング攻撃を受ける可能性を減らすことができます。

フィルタリングにより偽造パケットを拒否する
パケットフィルタリングにより、例えば組織内の IP アドレスを送信元アドレスとする偽造パケットがインターネット側からやってくるのを拒否することが可能です。

関連する RFC として、RFC 2827、RFC 3704、RFC 3013 を参照してください。

recursive query を拒否する
外部から DNS query を受け付けるネームサーバにおいては、recursive query を受け付けないように設定してください。

source port randomization を実装する
DNS 製品ベンダは IETF で検討されている draft-ietf-dnsext-forgery-resilience を参照のうえ、対策を検討してください。