「ghost domain names(幽霊ドメイン名)」脆弱性について

【幽霊ドメイン名】っておどろおどろしい命名

JPRSよりメールが届く。その題名が【「ghost domain names(幽霊ドメイン名)」脆弱性について】である。

インパクトのある題名だが、内容はDNSサーバ全般の脆弱性を報告した内容であった。

詳細は、JPRSのサイトに記載されています。

http://jprs.jp/tech/notice/2012-02-17-ghost-domain-names.html

内容を簡単に書くと、【ゾーン情報を持つDNSサーバから、不必要なゾーン情報を削除した場合でも、キャッシュDNSサーバには、何もしなければキャッシュが暫く残る。TTLの時間が経過すれば、キャッシュも消滅するが、事前に攻撃対象となるキャッシュDNSに対して、別サーバへ検索するように仕向ける。そうすると、情報が上書きされ、さらにTTLも消滅する前に、悪意をもった別サーバでDNS情報を検索されるようにすれば、事実上消滅したドメインが存在してしまう。】といった感じかな。

今回の脆弱性は、BIND9だけでなく、その他のDNSでも起こりうるとのこと。

今の所、明確の回避方法は存在しないが、不要なゾーン情報を削除した後に、キャッシュDNSのキャッシュを削除する作業を行うしか方法はないのではないだろうか。例えば、再起動することでキャッシュを消すような行為を行うなど。

この幽霊ドメインが存在されるような脆弱性を利用する者は、不正なサイトへ誘う為に行うのは明らかなので、サーバ管理者はDNSサーバを注意して運用しましょう。

Speak Your Mind

*