japan.internet.com The Internet & IT Network


RSSニュース検索
カテゴリ
> トップページ
> Webビジネス
> Eコマース
> Webファイナンス
> Webマーケティング
> パブリック
> Webテクノロジー
> 携帯・ワイヤレス
> Linux Today
> Linux Tutorial
> J.I.C.ブログ
キャリア
> 転職ならen
> 派遣ならen
> アルバイトならen
> IT求人情報
ヘッドライン
> 今日のヘッドライン
> 週間ヘッドライン
Special Link
> ロレックス
> フォトコミュニティ
> ストックフォト
> クリップアート
> イラスト
> フェリカ
> Web2.0
イベント&セミナー
> イベントカレンダー
> 書評「IT の耳」
> 出張・接待検索
> ニュースガジェット 注目
無料ニュースメール
> 新規登録
> 変更・解除
> オプトインメールの登録・変更・解除
インフォメーション
> パートナーサイト
転職ならエン
就職ならen
求人ならen
履歴書ならen
アルバイトならエン
CRM/SFAならオラクル
> グループ会社
株式会社アエリア
(株)サンゼロミニッツ
株式会社エアネット
> お問い合わせ
> 広告掲載について
> リンクについて
> 著作権について
> その他お問い合わせ
> 利用規約
> 個人情報保護方針
> 会社概要地図
Webテクノロジー 2001年1月30日 00:00
Webテクノロジー・バックナンバー
有力 DNS ソフト「BIND」に4つのセキュリティホール

著者: Thor Olavsrud  オリジナル版を読む プリンター用 記事を転送
2001年1月30日 00:00 付の記事
海外internet.com発の記事
このエントリーを含むはてなブックマーク この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録 newsing it!

先週、Microsoft Corp. のサーバーに対する攻撃が大きな話題となり、インターネットコミュニティのセキュリティへ の関心はいつになく高まっている。これを受けて、不正アクセス対策団体、CERT Coordination Center (CERT/CC) は29日、インターネットのインフラの中でも最も根幹部分のソフトウェアに 脆弱性がある可能性を指摘した。

CERT/CC が指摘したのは、DNS (ドメイン ネーム サーバー) ソフトウェア「BIND (Berkeley Internet Name Domain) 」の旧バージョンに見つかった4つのセキュリティホール。「BIND」は Internet Software Consortium (ISC) が管理しているもので、URL を IP ア ド レスにマップする機能を持つ。CERT は「BIND」ソフトウェアの全ユーザーに対し、バージョンを「BIND 4.9.8」、 「BIND 8.2.3」あるいは「BIND 9.1」にアップデートするよう推奨した。ただ、「BIND 4」は、現在では積極的なサ ポートが行なわれていないため、ISC 側は「BIND 8.2.3」または「BIND 9.1」を勧めている。

CERT/CC で脆弱性対策のチームリーダーを担当している Shawn Hernan 氏は29日、InternetNews Radio の取材に対 して、現在稼動中の DNS サーバーの80%以上が「BIND」ソフトを使用していると指摘した。例えば、インターネット 上にあるすべてのネームサーバーが URL を IP アドレスにマップする際に照会する16基のルート DNS サーバーなど だ。これらのルートサーバーは、修正版の「BIND」を走らせている。

Hernan 氏によれば、29日に明らかにされた4つのセキュリティホールは、セキュリティに重大な危険をもたらす可能性 があるという。

問題のセキュリティホールは次の4つ。

  • ISC の BIND 8は、電子署名 (TSIG) の処理コードにおいて、バッファオーバーフローが起こりうる。この脆 弱性により、攻撃者が BIND サーバーと同じアクセス権を使ってコードを実行する恐れがある。BIND は通常、スーパ ーユーザー権限で実行されるため、コードの実行もスーパーユーザーのアクセス権で行なわれる。
  • ISC の BIND 4では、相手ホストの情報を取得する nslookupComplainを行なう際にバッファオーバーフローが起 こりうる。この脆弱性により、BIND サーバーの正常な稼動が妨げられ、攻撃者が BIND サーバーのアクセス権を使っ てコードを実行する可能性がある。
  • ISC の BIND 4では、nslookupComplain 入力の正当性確認にエラーが出る可能性がある。この脆弱性もまた、攻 撃者が BIND サーバーのアクセス権を使ってコードを実行する危険性につながる。
  • ISC の BIND サーバーに照会を行なうと、環境変数が漏洩する可能性がある。この脆弱性により、攻撃者がプログ ラムスタックから環境変数などの情報を読み取る危険が考えられる。また、この脆弱性を利用して得た情報をさらに利 用して、上記の2番目、3番目のセキュリティホールにつけ込む可能性もあり得る。
BIND 4.9.8 および8.2.3はここからダウンロードできる。ま た、BIND 9.1 はここから。






関連記事
  • Microsoft の .Net キャンペーン、システムダウンで台無しの危機
  • Microsoft、Java エンジニアにも .NET の門戸を開く
  • Microsoft サイトにまた侵入?
  • B2B市場の制覇めざし Microsoft が新たなキャンペーン
  • マイクロソフト、デジタル TV 開発を支援


    • 関連テーマ
  • ドメイン
  • Microsoft


    • このエントリーを含むはてなブックマーク この記事をクリップ!
    BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録users
    ★最新トップニュース
    国内 ミニノート「HP 2133」、販売再開するもまた売り切れ(Webビジネス 7月25日 12:50)
    日本 HP は2008年7月23日、同社にてミニノート PC「HP 2133 Mini-Note PC」の販売を再開すると発表したが、オンラインストアではわずか1日で再び販売終了となった。
    海外 Sun と Joyent、ソーシャル アプリケーション開発を支援(Webテクノロジー 7月25日 12:30)
    Sun Microsystems と Joyent が提携して、『Facebook』および『OpenSocial』向けのソーシャル アプリケーション開発を支援するプログラムを開始した。
    海外 企業向けサービスの強化を図る NetSuite(Webビジネス 7月25日 12:20)
    NetSuite は22日、CRM アプリケーション『CRM+』と、サービスとしてのプラットフォーム (PaaS)『NetSuite Business Operating System』(NS-BOS) の最新版を発表した。
    海外 Intel、SoC 市場への参入を明確化する新製品群を発表(Webテクノロジー 7月25日 12:20)
    Intel は、『Atom』プロセッサ、および『Pentium M』プロセッサを基本とする一連の SoC (システムオンチップ) 新製品を発表した。
    海外 Oracle、包括的アクセス管理ソリューション スイートをリリース(Webビジネス 7月25日 12:10)
    Oracle が、新プライバシー関連法案『FACTA』(公正で正確なクレジット決済法) の遵守を支援する『Oracle Access Management Suite』をリリースした。
    トピックス
    > オススメのIT系求人情報【毎週月曜日更新】
    footer_301.gif


    リサーチ
    > デイリーリサーチDLサイト
    > OnlineResearchPortal (リサーチデータバンク)
    > モバイルリサーチ with goo
    footer_301.gif
    キーワード
    > iPhone > Youtube
    > Google > モバイルノート
    > 半導体 > ウィルコム
    > テーマ一覧はこちら
    footer_301.gif
    セミナー情報
    > 第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました
    footer_301.gif
    デベロッパー
    > DevX
    > CodeGuru
    > developer.com
    footer_301.gif
    日本Oracle
    footer_301.gif
    j.i.c.ブログ
    ブログ一覧
    デスマーチからの脱却 【デスマーチからの脱却】
    独自ドメインでiPhoneのメール送受信(7月25日)
    データメーション 【データメーション】
    本物のスパム王様はお名乗り出ください(7月24日)
    Graphic Design Forum 【Graphic Design Forum】
    興味深い(?)90年代 (7月24日)
    エンジニアの独り言 【エンジニアの独り言】
    新入社員が配属される季節ですね。(7月23日)
    ジュピターメディア創設者がITを斬る 【ジュピターメディア創設者がITを斬る】
    Alan を探せ(7月18日)
    ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】
    「『訪問歯科診療』のパイオニア」/デンタルサポート株式会社(7月15日)
    footer_301.gif
    最新コラム一覧
    CodeGuru CodeGuru

    Visual C++ 2008 Feature Pack: MFCの強化 (2)(7月25日)
    最新アフィリエイト事例にみる成功の法則 最新アフィリエイト事例にみる成功の法則

    メディアのニーズ 〜アフィリエイトに対する思い〜(7月25日)
    最新ハイテク講座 最新ハイテク講座

    Blu-ray がノート PC でも快適に!インテル「Centrino 2」(7月25日)
    百式のネットビジネス研究 百式のネットビジネス研究

    究極にシンプルなタスク管理ツール「now do this」(7月25日)
    週刊-サイト別アクセス状況データ 週刊-サイト別アクセス状況データ

    ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月24日)
    IT マネジメント IT マネジメント

    Google Trends で見る IT のトレンド(7月24日)
    ハードウェアから見たデータベース ハードウェアから見たデータベース

    表計算ソフトの計算を支える仕組(7月24日)
    「IT の耳」 「IT の耳」

    【書評】ネットオークションで騙す。―全米を揺るがした絵画詐欺犯の告白―(7月24日)
    検索エンジンマーケティング 検索エンジンマーケティング

    ピンポイントマーケティングにおける P4P(検索連動型広告)の“当たり前”(7月24日)
    Eメールマーケティング事情 Eメールマーケティング事情

    大量送信のスパムからターゲット絞り込みスパムメールへ(7月23日)
    footer_301.gif
    専門チャンネル
    > セキュリティチャネル > テレコムチャネル
    > サーチエンジンウォッチ
    footer_301.gif
    海外のインターネットコム アメリカ韓国ドイツトルコ
    関連企業のサイト:ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルデザインTシャツ ニタコエ
    Copyright 2008 Jupitermedia Corporation All Rights Reserved. http://www.internet.com/
    		space.gif space.gif