## page was copied from DnsTemplate ##master-page:HelpTemplate <> = NS名ゾーン問題 = 以下で紹介された wiz.io の指摘を検討する。 aws提供のリゾルバーを使っているclientが影響を受ける。 自前のリゾルバーを使っていれば、影響をうけない。-- ToshinoriMaeno <> awsdnsはfixしたと言っているが、それ以外の情報はない。 <> https://www.darkreading.com/vulnerabilities---threats/new-dns-name-server-hijack-attack-exposes-businesses-government-agencies/d/d-id/1341377?utm_content=170954766&utm_medium=social&utm_source=twitter&hss_channel=tw-2572020625 == なにが起きたか == {{{ awsdnsでは任意のドメイン名でゾーンが作れる。(一部、制限がある。) }}} [[/ns-852.awsdns-42.net]]ゾーンを作ってみたら、おそろしいことが起きた。 aws client からの DNS query が流れこんできた。(起きてはならないこと) == 起きてはならないこと == リゾルバーはrootサーバーからの委譲のリンクを辿って参照すべきである。 ここで登録できた ns はどこからも参照されないはずだった。 == なぜおきるのか == awsではリゾルバーを含めたサービスを提供している。 そのリゾルバーの動作に問題があると考えている。 たとえば、awsdns-42.net下のホストに関しては、高速化のためにaws内のDBを優先するなどがある。 そして、今回の問題への対策として、awsdnsで使用しているNS名のゾーンはawsdnsには登録させないとか。 本当にNS名だけでいいのだろうか。リゾルバーの動作が公開されないのでは分からない。 == 対策内容 == 「awsdnsで使われているNS名はゾーン登録させない」という対策がなされたようであるが、 それだけでいいのだろうか。 間違い動作をした実装の説明がないので、わからない。-- ToshinoriMaeno <> 今回の脆弱性が解消されたのか。この疑問が残るだけで、awsはサービス失格だろう。 ---- CategoryDns CategoryWatch CategoryTemplate