1. DNS/幽霊ドメイン名
リゾルバーに存在した脆弱性のひとつ。きちんと対応されたとは言えない状態だ。
世間での理解は進んでいないように見える。
1.1. 幽霊ドメイン名脆弱性
名前解決が失敗しなければならないドメイン名を解決可能つまり使用可能に保つ悪用法
- キャッシュサーバの毒入れに匹敵する。
- ー>ドメイン管理組織にとっては非常に都合の悪い欠陥です。抹殺したいのにできないから。
JPRS の技術情報(2012-02-17) http://jprs.jp/tech/notice/2012-02-17-ghost-domain-names.html
1.2. キャッシュサーバの脆弱性
ISCなどはDNSプロトコルの問題だと説明にならない主張をしている。
- そういうプロトコルを作ってきたのがISCであることは言わない。
1.3. 対策
- unbound 1.4.8 以降の対策ずみキャッシュに入れ替える。
- 対策済みの BIND 9.9.0 などに更新する。
- 次のBINDリリースを待つ。それまでは、キャッシュを定期的にクリアする。(最低でも一日に一回)
- BIND であれば、キャッシュのTTL最大値を2時間程度に制限することも併用すべきだ。
1.4. 共用キャッシュサーバ調査
OpenDNSなど、GDN論文で脆弱だと指摘された公開キャッシュサーバにいまも脆弱性があるかを調べる。
脆弱性の兆候はないが、一部返答がおかしいものを見かけた。-- ToshinoriMaeno 2012-03-23 22:41:32
1.5. ISC BIND リリース
ISC BIND ではNS TTLを制約するようにbug fix したとの話はあるが、 Ghost Domain Names 脆弱性を修正したとは言っていない。 それが伝言ゲームで「幽霊ドメイン名脆弱性が修正された」と化けている。要注意。(再警告)