2009-02-19 鼻血が
何度目だ?
◆ [情報][ネタ] djbdns 1.0.5 の dnscache に欠陥。
キタ━━━━(゜∀゜)━━━━!!
ついにセキュリティホールが!
攻撃者が dnscache に対して query および偽の response を送付できる環境にある場合、これまで知られていたよりも高効率 (100 倍以上) で DNS cache 汚染を実行できる。
おおぅ、結構危険……SOAレコード経由の汚染なのか? SOAをキャッシュしないからSOAクレクレ要求を送りまくると毎回聞きに行くのでその時にADDITIONAL SECTIONをいじったレスポンスを返してやると信じちゃうって? そんな雰囲気? さらに+αがあるっぽいけど。近々きっと/.あたりでも取り上げられるのを期待して読むのをやめる(笑)出てったTIDと一致してるかの判定も追加してるのかな?(荒読み
……というか、openなDNSだと、安全地帯(?)でも40時間位で50%の確率で毒入れできるのね…… ダメダメだDNS。引き金を引けないようにしておかないと危険だ。
うちは引き金が引けないからとりあえずはシカトで。でもToDoには入れておく。時期にportsでも出回ることだろう……。
てか、なんでSOAキャッシュしないんだ?(キャッシュ用のパッチも出てますね)
……
情報を求めて2chのdjbスレへ行ってみた。
176 :名無しさん@お腹いっぱい。:2009/02/19(木) 17:43:18
http://www.your.org/dnscache/
BIND9の1/100以下の時間でやられるっぽい
177 :anonymous:2009/02/19(木) 18:01:02
BIND9の1/100も存在してないから大丈夫
(djb(4))
だれがうまいこと言えと(笑)
今の仕組みを壊さないようにDNSを安全運転させようと思ったら、各自がローカルにDNSリゾルバ持つのが一番無難なのかなぁ……。
◆ [情報][メモ] 月周回衛星「かぐや(SELENE)」のハイビジョンカメラ(HDTV)による半影月食時の地球の撮影の成功について
いい感じだったのでメモ
Last Update: 2009-02-19 21:46:40
[ツッコミを入れる]