Linux、Windows、Cisco、Sunなど、どんなDNSサーバを稼働させていても、新たに見つかる脆弱性の危険がつきまとう。そう語るのはIO Activeにおける侵入テスト調査の責任者Dan Kaminsky氏、今年初めにDNSの“設計上の欠陥”を思いがけず発見した人物だ。
利用しているDNSサーバに脆弱性があるかどうかは、Kaminsky氏のWebサイトの右上にある「Check My DNS」ボタンをクリックすることでチェックできる。
「DNSの脆弱性を発見できたのはまったくの偶然だった」とKaminsky氏は言う。この弱点があらゆる範囲に影響する基本的な設計上の不備によるものだと認識した彼は、対策を決定するためにセキュリティ研究者による“首脳会議”の開催を求めた。会議は3月31日にMicrosoftで開かれ、複数ベンダによるパッチの作成で解決することになった。本日(7/8)、Microsoft、Sun、Ciscoなどの企業やBINDに関連する組織からこの欠陥に対するパッチが公開された。各Linuxディストリビューションでも今日、パッチの提供が始まる見込みだ。Debianについては、BINDのパッチを当てる手順がすでにネット上で公開されている。
この問題は、大まかにランダム性の不足と記されている。各ベンダの配布するパッチは、本来の欠陥がリバースエンジニアリングによって解明できないように作られている。欠陥の詳細は、システム管理者がパッチを評価して各自のDNSサーバに適用する時間を確保できるように30日間は非公開とされる。DNSクライアントも危険にさらされるがその度合いはずっと低く、当面は引き続きDNSサーバに焦点が当てられる。
Kaminsky氏によると、パッチ適用の基準は「再帰的な検索を行うDNSサーバにはパッチを当てる」ということだ。