BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)
--------------------------------------------------------------------- ■BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可) について(CVE-2018-5741) - update-policy機能を使用し、かつ、krb5-subdomainまたはms-subdomain ルールタイプを設定している場合のみ対象、設定の追加を推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2018/09/20(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス 提供者が意図しない形でDynamic Upd
JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
BIND 9.9.12 BIND 9.10.7 BIND 9.11.3 BIND 9.12.0 から 9.12.1-P2 BIND the development release 9.13.0 BIND 9.9.12-S1 BIND 9.10.7-S1 BIND 9.11.3-S1 BIND 9.11.3-S2 ISC BIND では、明示的に設定しない場合の allow-recursion の初期値は次のように設定されることが想定されています。 "recursion no;" が設定されているとき: 再帰的クエリを許可しない "recursion yes;" の設定とともに allow-query-cache や allow-query でアクセスを許可する範囲が明示的に設定されているとき: allow-query-cache や allow-query の値を継承する "recursi
US-CERT、DNSミス設定によるドメイン情報リークに注意喚起
US-CERTは4月13日(米国時間)、「DNS Zone Transfer AXFR Requests May Leak Domain Information|US-CERT」において、DNSサーバのAXFR(Asynchronous Transfer Full Range)リクエストに対するレスポンスを不適切に設定していると、権限を持たない第三者に対してゾーンの内部ネットワーク構成やセンシティブな情報などを漏らすことになりかねないと注意を促した。 AXFRリクエストはゾーン・トランスファーを実現するためのプロトコルで、複数のDNSサーバ間でDNSデータを複製するために用いられる。この設定を間違えると、本来であれば権限を持ったサーバ間のみで共有されるべき情報が、任意の第三者によって取得されてしまう危険性がある。US-CERTは調査によってこうした誤った設定をしたDNSサーバが依然として散
オープンリゾルバ問題、立ちふさがるはデフォルト設定?
オープンリゾルバ問題、立ちふさがるはデフォルト設定?:JANOG 31.5 Interim Meetingレポート 4月19日に開催されたJANOG 31.5 Interim Meetingの「DNS Open Resolverについて考える」では、ネットワーク管理者はもちろん、ネットワークサービス提供者や機器ベンダなど、インターネットにさまざまな立場から携わるメンバーが、それぞれの立場で取ることができるオープンリゾルバ対策について議論が交わされた。 「自分が管理しているネットワークには、オープンリゾルバ状態のDNSサーバは存在しない」、そう断言できるネットワーク管理者やユーザーはどれだけいるだろう。3月に発生した史上最大規模のDDoS攻撃をはじめ、他者への攻撃に荷担していないと言い切れるだろうか? 実は、CloudFlare(3月18日ごろから発生した「Spamhaus」に対する大規模な
インターネット定点観測レポート(2013年 1~3月)
1 概況 JPCERT/CCでは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類しています。脆弱性情報、マルウエアや攻撃ツールの情報などを参考に分析することで、攻撃活動や準備活動の捕捉に努めています。 図1は期間中の宛先ポート番号トップ5の変化を示したグラフです。今期は、WindowsやWindows Server上で動作するプログラムが使用する445/TCPや1433/TCP、エラー通知や通信状態の診断を行なうためのICMP(Ping)、Telnetサーバが使用する23/TCP、Windowsのリモート管理やアクセスに使用するリモートデスクトップ3389/TCP宛へのパケットを多く観測しています。また、トップ5に続くものでは、22/TCPや、MySQLが使用する3306/TCP、Webサーバで使用す
オープンリゾルバ(Open Resolver)に対する注意喚起 - JPNIC
初版公開 2013年4月18日 最終更新 2014年7月25日 DNSの不特定からの問い合わせに応答する*1、 サーバやネットワーク機器は、オープンリゾルバと呼ばれています。 最近、 適切な対策が施されていないオープンリゾルバが踏み台*2として利用され、 国内外のサーバに対する大規模なDDoS攻撃*3が行われていることが報告されています。 これを受けて、本来、 オープンリゾルバである必要のないサーバやネットワーク機器を減らし、 踏み台となってしまうことへの対策をとるための活動が行われています。 ご確認と対策をお願いいたします。 *1 ここではドメイン名の名前解決のために行われる問い合わせを指しています。 この問い合わせを受けた、 DNSのリゾルバと呼ばれるプログラムモジュールは、 複数のネームサーバに問い合わせを行い、 その結果を問い合わせ側に応答する仕組みになっています。
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
各位 JPCERT-AT-2013-0022 JPCERT/CC 2013-04-18 <<< JPCERT/CC Alert 2013-04-18 >>> DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html I. 概要 JPCERT/CC では、海外 CSIRT などから、日本国内の DNS キャッシュサーバ を使用した DDoS 攻撃が発生しているとの報告を受けています。 JPCERT/CC に報告された攻撃では、攻撃者は外部からの再帰的な問い合わせを 許可している DNS キャッシュサーバ (以下、オープンリゾルバ) を使用して、 DNS アンプ攻撃を行っているとのことです。攻撃者は、攻撃対象の IP アドレ スを送信元 IP アドレスに偽装した再帰的な問い合わせパケットを
技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について
--------------------------------------------------------------------- ■技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について 株式会社日本レジストリサービス(JPRS) 初版作成 2013/04/18(Thu) --------------------------------------------------------------------- ▼はじめに 2013年3月16日(協定世界時)[CISCO2013]から3月下旬にかけ、迷惑メール 対策の活動を進めている国際組織The Spamhaus Projectに対する攻撃に端を 発する、大規模かつ長期間にわたる分散サービス不能(DDoS)攻撃が発生し ました。 今回の攻撃ではこれまでで最大規模となる300Gbps以上のトラフィ
設定ガイド:オープンリゾルバー機能を停止するには【BIND編】
--------------------------------------------------------------------- ■設定ガイド:オープンリゾルバー機能を停止するには【BIND編】 株式会社日本レジストリサービス(JPRS) 初版作成 2013/04/18(Thu) --------------------------------------------------------------------- ▼はじめに 本資料は、オープンリゾルバーとして動作しているBINDを使ったDNSサーバー の設定を、簡単なステップで修正する事を目的としています。 オープンリゾルバーについての技術的な解説は本資料では行いません。手順 に沿った操作で設定を変更し、読者が運用するDNSサーバーがオープンリゾル バーではなくなることを目指しています。 オープンリゾルバーおよびそれを利用し
CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる
BIND 9の深刻な欠陥により、攻撃者が、named、およびlibdnsをリンクする他のプラグラムのメモリを過大に消費させることが可能となります。 CVE: CVE-2013-2266 文書バージョン: 2.0 公開日付: 2013年3月26日 影響を受けるプログラム: BIND 影響を受けるバージョン: BIND 9.7.x, 9.8.0 から 9.8.5b1, 9.9.0 から 9.9.3b1(いずれも"Unix"版のみ。Windows版は影響を受けない。9.7.0より前のバージョン(9.6-ESVを含む)も影響を受けない。BIND 10も影響を受けない) 深刻度: 重大(Critical) 攻撃方法: 遠隔から可能 詳細: Unix系のオペレーティングシステムでコンパイルされたBIND 9.7, 9.8, および9.9で利用されているライブラリの欠陥により、攻撃者が意図的にnamed
![CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる](https://cdn-ak-scissors.b.st-hatena.com/image/square/33006d49b56e36a164d4d70961c8f6735cbd4d3b/height=288;version=1;width=512/https%3A%2F%2Fcdn.document360.io%2F956e37e2-5ec0-4942-8b27-35533899f099%2FImages%2FDocumentation%2FISC-logo-rgb-2048x1149.png){kind=logo}
D.root-servers.netのIPアドレス変更について
--------------------------------------------------------------------- ■D.root-servers.netのIPアドレス変更について 株式会社日本レジストリサービス(JPRS) 初版作成 2012/12/18(Tue) --------------------------------------------------------------------- ▼概要 ルートサーバーの一つ、D.root-servers.net(以下、D-root)のIPアドレス が2013年1月3日に変更される予定である旨、D-rootの運用者である米国メリー ランド大学から事前予告(advance notice)がありました。 D-Root Renumbering - Division of Information Technology
RFC 6303: Locally Served DNS Zones
Internet Engineering Task Force (IETF) M. Andrews Request for Comments: 6303 ISC BCP: 163 July 2011 Category: Best Current Practice ISSN: 2070-1721 Locally Served DNS Zones Abstract Experience with the Domain Name System (DNS) has shown that there are a number of DNS zones that all iterative resolvers and recursive nameservers should automatically serve, unless configured otherwise. RFC 4193 speci
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Using RPZ to disable Mozilla DoH
インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
【インタビュー】過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは 
【Internet Week 2012】ドメイン名は親の心子知らず? DNSの委任構造と生まれながらの“業” 
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
【】児童ポルノのブロッキングと「DNS RPZ」/悩ましい「DNS運用の現実」 
[dns-operations] Bind 9.8.0 intermittent problem with non-recursive responses
http://jprs.jp/dnssec/doc/parameter.html