japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月7日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
任天堂が、大画面の「ニンテンドーDSi LL」を発表。欲しいと思いますか?
欲しい
欲しいと思わない
他のDS製品を持っているが欲しい
他のDS製品を持っているのでいらない
投票締切 11/9 12:00
Webテクノロジー2001年1月30日 00:00

有力 DNS ソフト「BIND」に4つのセキュリティホール

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
先週、Microsoft Corp. のサーバーに対する攻撃が大きな話題となり、インターネットコミュニティのセキュリティへ の関心はいつになく高まっている。これを受けて、不正アクセス対策団体、CERT Coordination Center (CERT/CC) は29日、インターネットのインフラの中でも最も根幹部分のソフトウェアに 脆弱性がある可能性を指摘した。

CERT/CC が指摘したのは、DNS (ドメイン ネーム サーバー) ソフトウェア「BIND (Berkeley Internet Name Domain) 」の旧バージョンに見つかった4つのセキュリティホール。「BIND」は Internet Software Consortium (ISC) が管理しているもので、URL を IP ア ド レスにマップする機能を持つ。CERT は「BIND」ソフトウェアの全ユーザーに対し、バージョンを「BIND 4.9.8」、 「BIND 8.2.3」あるいは「BIND 9.1」にアップデートするよう推奨した。ただ、「BIND 4」は、現在では積極的なサ ポートが行なわれていないため、ISC 側は「BIND 8.2.3」または「BIND 9.1」を勧めている。

CERT/CC で脆弱性対策のチームリーダーを担当している Shawn Hernan 氏は29日、InternetNews Radio の取材に対 して、現在稼動中の DNS サーバーの80%以上が「BIND」ソフトを使用していると指摘した。例えば、インターネット 上にあるすべてのネームサーバーが URL を IP アドレスにマップする際に照会する16基のルート DNS サーバーなど だ。これらのルートサーバーは、修正版の「BIND」を走らせている。

Hernan 氏によれば、29日に明らかにされた4つのセキュリティホールは、セキュリティに重大な危険をもたらす可能性 があるという。

問題のセキュリティホールは次の4つ。

  • ISC の BIND 8は、電子署名 (TSIG) の処理コードにおいて、バッファオーバーフローが起こりうる。この脆 弱性により、攻撃者が BIND サーバーと同じアクセス権を使ってコードを実行する恐れがある。BIND は通常、スーパ ーユーザー権限で実行されるため、コードの実行もスーパーユーザーのアクセス権で行なわれる。
  • ISC の BIND 4では、相手ホストの情報を取得する nslookupComplainを行なう際にバッファオーバーフローが起 こりうる。この脆弱性により、BIND サーバーの正常な稼動が妨げられ、攻撃者が BIND サーバーのアクセス権を使っ てコードを実行する可能性がある。
  • ISC の BIND 4では、nslookupComplain 入力の正当性確認にエラーが出る可能性がある。この脆弱性もまた、攻 撃者が BIND サーバーのアクセス権を使ってコードを実行する危険性につながる。
  • ISC の BIND サーバーに照会を行なうと、環境変数が漏洩する可能性がある。この脆弱性により、攻撃者がプログ ラムスタックから環境変数などの情報を読み取る危険が考えられる。また、この脆弱性を利用して得た情報をさらに利 用して、上記の2番目、3番目のセキュリティホールにつけ込む可能性もあり得る。
BIND 4.9.8 および8.2.3はここからダウンロードできる。ま た、BIND 9.1 はここから。


関連テーマ
  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
認証がオンラインビジネスの鍵である理由(11月4日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/