また DNS に脆弱性？

セキュリティ研究者 Dan Kaminsky 氏は昨年、きわめて深刻な DNS (Domain Name System) の脆弱性を発見し、大きな注目を浴びた。この脆弱性が解消していなければ、インターネットが広範囲にわたって壊滅していた可能性もあった。

そして2009年の幕開け早々に、新たな DNS の脆弱性が発覚した。ただし、深刻度は前回ほど高くはない。

圧倒的に普及率の高いオープンソース DNS サーバー『BIND』の開発を率いる Internet Systems Consortium (ISC) は7日、特にこれといった発表もなく、BIND の複数バージョンに対するパッチをリリースした。

今回のパッチで対応した脆弱性は、DNS にセキュリティ層を追加するための機能拡張『DNSSEC』(DNS Security Extensions) のエレメントに影響するものだ。ISC やセキュリティ専門筋は DNSSEC プロトコルについて、Kaminsky 氏が指摘した脆弱性に対する長期的なソリューションになるとしている。

ISC やセキュリティ観測筋によれば、今回の脆弱性の深刻度は低いという。

ISC の上級プログラミング マネージャ Joao Damas 氏は、取材に対して次のように語った。「この脆弱性は、ある種の DNSSEC の使用状況に固有のものだ。影響を受ける特定のパターン (DSA 鍵など) を使用している場合は、将来的に不測の問題が生じるのを防ぐために、配備済みのあらゆる BIND DNSSEC を更新するよう強く推奨する」

DNSSEC の考え方は、デジタル署名のあるドメイン情報をグローバル DNS システムに付加するというものだ。DNSSEC で肝心な点は、署名付きドメイン情報の暗号化にある。BIND の場合、暗号化には『OpenSSL』ライブラリの一部を用いている。OpenSSL は、暗号化技術『SSL』のオープンソース実装版で、BIND に影響を及ぼすおそれがある署名検証の欠陥が、この部分に見つかった。