1. NS名ゾーン問題
以下で紹介された wiz.io の指摘を検討する。
- aws提供のリゾルバーを使っているclientが影響を受ける。
自前のリゾルバーを使っていれば、影響をうけない。-- ToshinoriMaeno 2021-06-30 09:04:40
Contents
1.1. なにが起きたか
awsdnsでは任意のドメイン名でゾーンが作れる。(一部、制限がある。)
/ns-852.awsdns-42.netゾーンを作ってみたら、おそろしいことが起きた。
- aws client からの DNS query が流れこんできた。(起きてはならないこと)
1.2. 起きてはならないこと
リゾルバーはrootサーバーからの委譲のリンクを辿って参照すべきである。
- ここで登録できた ns はどこからも参照されないはずだった。
1.3. なぜおきるのか
awsではリゾルバーを含めたサービスを提供している。
- そのリゾルバーの動作に問題があると考えている。
たとえば、awsdns-42.net下のホストに関しては、高速化のためにaws内のDBを優先するなどがある。
- そして、今回の問題への対策として、awsdnsで使用しているNS名のゾーンはawsdnsには登録させないとか。
本当にNS名だけでいいのだろうか。リゾルバーの動作が公開されないのでは分からない。
1.4. 対策内容
「awsdnsで使われているNS名はゾーン登録させない」という対策がなされたようであるが、 それだけでいいのだろうか。
間違い動作をした実装の説明がないので、わからない。-- ToshinoriMaeno 2021-06-30 07:41:18
今回の脆弱性が解消されたのか。この疑問が残るだけで、awsはサービス失格だろう。