まあ、Linuxでサーバーを立てた人間であれば、必ずと言っていいほどお世話になっている「BIND」ですよ。あれがないと、自動で名前解決(FQDN名とIPアドレス)が出来ません。ところがです。この「BIND9」(BINDバージョン9)の、DNSSEC部分(エクステンション的な部分)に構造的な脆弱性があり、何か悪質なものが、外部からそこに負荷をかけることによって、サーバーごとダウンさせてしまえるような弱点(脆弱性)があるのですよ。うわー! 困った困った。他に代替手段があればいいのですが……。
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
こういうのを「DNSリゾルバ」(DNSを解決するもの)という呼び方をしていて、これがないと、WindowsNT系の場合は、DNS.TXT(FQDN名とIPアドレスの対応表)などを手動で記述しなければならないことになり、とても手間です。大変な手間です。そんなことはやっていられません。
とは言え、何の防御策も取らずに、侵入検知もせずに、そのままで「BIND9」を運用することは大変危険でして、そのまま放置すると、あなたのサーバーも、大変なことになりますよ。過負荷でサーバーごと落ちる危険性を孕んでいます。
まあ、このドイツの研究機関が配布しているパッチがあるそうでして、そこのパッチ当てをすることによって、ある程度の状況の回避は出来るものの、根本的な解決策にはならず(構造的な問題ゆえに)DNSSEC標準の改訂を望んでおられます。
国内外の9割のサーバーがUNIX/Linuxで運用されていることを考えれば、この弱点(脆弱性)は、放置すると大変危険です。どこかの勇者が「BIND10」とかを開発してくれなきゃ、大変なことになりますよ。
ではでは(・∀・)ノ
パソコンのお医者さん 依拠しているものがLinuxサーバー ネットウイングス 代表 田所憲雄 拝
0コメント