２００８年８月１日　BINDのキャッシュポイズニングの脆弱性対策


２００８年７月、現時点のDNSサービスにはキャッシュポイズニング攻撃を許す脆弱性があるとJPCERTにて公表されました。残念ながら、広く一般的に 広がっているBINDも例外ではなく、キャッシュサーバを運営しているサーバ管理者は、DNSサービスのバージョンアップが必要とのことです。

【キャッシュポイズニングとは】
端末からDNS（キャッシュサーバ）に名前解決に行ったとき、キャッシュサーバにとって新しいドメインの問い合わせの場合はそのドメインを管理している権威サーバに問い合わせに行きますが、そのリターンが帰ってくる前にキャッシュサーバに偽の情報を渡すことです。

キャッシュサーバにとって、与えられた情報が正規のものか悪意あるものかは判断できないので、解散された名前解決の情報をそのまま端末に返してしまい、端末は悪意あるサーバに誘導されてしまう事態を引き起こします。

これに対処するには、DNSのバージョンアップが必要になります。

BINDのアップグレート

最新版はISCのサイト からダウンロードしてくる。

# tar zxvf bind-9.5.0-P2.tar.gz
# cd bind-9.5.0-P2
# ./configure --disable-ipv6
# make
# make install

 ※IPV6とつながっているのであれば、「 --disable-ipv6」はもちろん必要ないが、IPV4しか使わない環境であると、「--disable-ipv6」がないと名前解決に時間がかかるようになる。

あとは、BINDを再起動するだけで、最新版が立ち上がることになるが、インストールするサーバ環境のOpenSSLのバージョンが少し古い場合（0.9.8d／0.9.7lより古い場合）、実はコンフィグ実行時に大きなアラートが表示される。
こういった場合は、もちろんOpenSSLもバージョンアップする必要がある。

最新版はopenssl.orgのサイト からダウンロードしてくる。

# tar zxvf openssl-0.9.8h.tar.gz
# cd openssl-0.9.8h
# ./config --prefix=/usr/local --openssldir=/usr/local/openssl -fPIC
# make
# make install