LinuxのDNS/DNSSEC「BIND9」に致命的な脆弱性(ITmedia/NetwingsJ)

まあ、Linuxでサーバーを立てた人間であれば、必ずと言っていいほどお世話になっている「BIND」ですよ。あれがないと、自動で名前解決(FQDN名とIPアドレス)が出来ません。ところがです。この「BIND9」(BINDバージョン9)の、DNSSEC部分(エクステンション的な部分)に構造的な脆弱性があり、何か悪質なものが、外部からそこに負荷をかけることによって、サーバーごとダウンさせてしまえるような弱点(脆弱性)があるのですよ。うわー! 困った困った。他に代替手段があればいいのですが……。

「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる

こういうのを「DNSリゾルバ」(DNSを解決するもの)という呼び方をしていて、これがないと、WindowsNT系の場合は、DNS.TXT(FQDN名とIPアドレスの対応表)などを手動で記述しなければならないことになり、とても手間です。大変な手間です。そんなことはやっていられません。

とは言え、何の防御策も取らずに、侵入検知もせずに、そのままで「BIND9」を運用することは大変危険でして、そのまま放置すると、あなたのサーバーも、大変なことになりますよ。過負荷でサーバーごと落ちる危険性を孕んでいます。

まあ、このドイツの研究機関が配布しているパッチがあるそうでして、そこのパッチ当てをすることによって、ある程度の状況の回避は出来るものの、根本的な解決策にはならず(構造的な問題ゆえに)DNSSEC標準の改訂を望んでおられます。

国内外の9割のサーバーがUNIX/Linuxで運用されていることを考えれば、この弱点(脆弱性)は、放置すると大変危険です。どこかの勇者が「BIND10」とかを開発してくれなきゃ、大変なことになりますよ。

ではでは(・∀・)ノ

パソコンのお医者さん 依拠しているものがLinuxサーバー ネットウイングス 代表 田所憲雄 拝

ネットウイングス

どうも(・∀・)ノ 兵庫県尼崎市のネットウイングスです。パソコンのお医者さんとして、「インターネットで愉しむ」と同時に「情報技術者同士の緩やかな連帯感の醸成」にもこだわっています。

このページに掲載された記事の名称や内容は、各社の商標または登録商標です。意匠権も同様です。また、ページ内でご紹介している記事、ソフトウェア、バージョン、URL等は、各ページの発行時点のものであり、その後、古くなったり、変更されている場合があります。

The names and content of the articles on this page are the trademarks or registered trademarks of the respective companies. The same applies to design rights. The articles, software, versions, URLs, etc. referred to in the pages are current at the time of publication of each page and may have since become outdated or changed.