BIND辞められない理由 Q&A
1 株式会社インターネットイニシアティブ 島村 充 <simamura@iij.ad.jp> BIND辞められない理由 Q&A 2 アンケートご協力ありがとうございます • 50件を超える、たくさんの回答を頂きました。 – みなさんのBIND9への 愛♥ を感じました 語り足りない人は懇親会で語ってください • 全部は紹介しきれませんので、似ているのはま とめます (取り上げられてなくても怒らないでくださいね) 3 おさらい • BIND9を辞めたい理由とは?? – DoS脆弱性が多すぎるから 運用コストが高い DoSられて可用性が損なわれる可能性がある • BIND9を完全に捨てる必要はない – 周辺ツール (DNSSEC署名周り、dig など) – 複数台あるうち、半分だけ変える – (権威の場合)hidden masterはBIND9にして、 slave(edge)は混在
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2848)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2848) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 対象となるディストリビューション・バージョンに要注意 - 株式会社日本レジストリサービス(JPRS) 初版作成 2016/10/21(Fri) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図
BINDの脆弱性対応についての動きまとめ - infragirl’s blog
おはこんばんにちは。ナツヨです。 いつか、脆弱性対応についての記事を書こうと思っていたら、BINDさんがまた 脆弱性を発表してくれました。(CVE-2015-8704,CVE-2015-8705) 前回の発表から1ヶ月も立っていないのに、流石BINDさんだなぁと思いました。(遠い目) 今日は、BINDに焦点をあてて、脆弱性対応とはどういうことが必要なのかまとめていこうと思います。すでに日常的に脆弱性対応されている方というよりは、「なんかしらんけどDNSサーバの管理者になっていた。とりあえずBINDというソフトウェアで動いていることは知っている」という方向けだと思います。 1.BINDの脆弱性の発表をキャッチする BINDの脆弱性について、世の中で一番早く発信するのはBINDのサポートを行っているISC本家(BIND | Internet Systems Consortium)だと思います。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開) - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/12/16(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 本脆弱性は、フルリゾルバー(キャッシュDNSサーバー
(緊急)BIND 9.10.2/9.9.7の脆弱性(DNSサービスの停止)について(2015年9月3日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.10.2/9.9.7の脆弱性(DNSサービスの停止)について(2015年9月3日公開) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/09/03(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.10.2/9.9.7における実装上の不具合により、namedに対する外部から のサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表さ れました。本脆弱性により、提供者
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開) - DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/07/08(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 該当
DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請
BIND 9やDHCPなどの提供するInternet Systems ConsortiumのWebサイトにマルウェアが仕掛けられた可能性がある。 DNSソフトのBIND 9やDHCPなどインターネットの中核となるソフトウェアを提供する米Internet Systems Consortium(ISC)のWebサイトが12月25日現在、メンテナンスモードになっている。ISCは「マルウェアに感染した可能性がある」として、ISCサイトへアクセスした全てのコンピュータでマルウェアスキャンを実施してほしいと呼び掛けている。 事態の詳細は不明だが、ISCがWebサイトを閉鎖したのは米国時間の22日から23日頃とみられ、マルウェアの駆除や感染の影響調査などの対応にあたっているもようだ。 米セキュリティ企業のCyphortによると、ISCのWebサイトが何らかの方法で閲覧者をマルウェア配布サイトに誘導するよ
(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月25日更新)
--------------------------------------------------------------------- ■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開) - BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/12/09(Tue) 最終更新 2014/12/25(Thu) (米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加) --------------------------------------------------------------------- ▼概要 BIND 9・Unbound・PowerDNS Recursorを含む複
Windowsでnslookupの代わりにdigコマンドでDNSを調べる(BIND編)
対象OS:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2 WindowsでDNSサーバーの動作状況を確認するには通常、標準装備のnslookupコマンドが利用されることが多い。その使い方は右上の関連記事を参照していただくとして、UNIXやLinuxなどでは現在nslookupは非推奨とされており、digのような高機能なコマンドの方が推奨されている(将来的にnslookupは廃止される可能性もあるとのことだ)。 ネットワーク管理の基本Tips:digとは?(@IT Server & Storageフォーラム) だが、Windows OSにはdigコマンドが標準装備されておらず、そのままでは使えない。そこで本稿では、Windowsでも動作するdig
DNSサーバーをオープンリゾルバーにしない
今年に入って、DNSの再帰的な問い合わせを使ったDDos攻撃が報告されているようです。 DNSキャッシュサーバーとして運用している場合でも、制限を設けて適切に設定をしておかないと、 DDos攻撃の踏み台にされてしまいます。 詳しくはこちらのサイトを参考にしてください。 http://www.jpcert.or.jp/pr/2013/pr130002.html 管理しているサーバーがオープンリゾルバーになっていないかどうかを確認するサイトが開設されています。 http://www.openresolver.jp/ OSやBINDのバージョンによっても異なりますが、設定例をご紹介します。 まず、オープンリゾルバーになっていないかを確認します。 前述したオープンリゾルバー確認サイトも確認できますが、ここではコマンドラインで確認します。 $ wget -qO - http://www.openre
社内LAN向けにDNS Server"Bind"をInstall, 設定
今の社内にはDNS Serverがおらず(RouterにもDNS機能がない)、名前解決するためにProviderのDNSに問い合わせていたので、DNS ServerをInstall, 設定したときのMemo. 環境はCentOS 6.0 64bit, Bind 9.7.0 社内にDNS Server(Bind)を導入する利点 DNS ServerのCache機能で名前解決が早くなるので、Networkの体感速度が上がる。 社内の共有Serverに(Mac, Windows関係なく)名前でAccess出来る。 名前でAccess出来ると共有ServerのIP Addressが変わっても通知しなくて済む。 (hostsを変更しなくても)本番環境のURLを社内の開発Serverに指定出来るので、Testし易い(かも)。 参考にしたのは下記Site. @IT 連載記事 「実用 BIND 9で作るD
BIND 9.xの脆弱性は「悪用の容易さで突出」、近く攻撃発生の恐れも
3月26日に発覚したBIND 9.xのDoSの脆弱性について、ISCも「この脆弱性を悪用するのにそれほど高い複雑さは要求されない」と認め、改めて速やかな対応を促した。 DNSサーバソフト「BIND 9.x」で発覚したサービス妨害(DoS)の脆弱性について、これまでの脆弱性に比べて比較的簡単に悪用できる可能性があると専門家が指摘した。短期間で攻撃コードが出回る可能性もあるとされ、開発元のInternet Systems Consortium(ISC)は、まだパッチを適用していない場合は速やかに対処するよう、改めて呼び掛けている。 ISCが3月26日付で公開したセキュリティ情報によると、この脆弱性はUNIX版のBIND 9.7.x、9.8.0~9.8.5b1、9.9.0~9.9.3b1の各バージョンに存在する。一方、Windows版と、BIND 9.7.0より前のBIND 9(BIND 9.6
mod_ssl 設定 2013/3 版 - どさにっき
2013年3月26日(火) ■ mod_ssl 設定 2013/3 版 _ 注: わしゃ暗号は素人です。 _ ここ最近の流れ。 2011/9 BEAST: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ 2012/9 CRIME: 圧縮機能を使うと解読されやすくなるよ 2013/2 Lucky 13: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ こんな感じで CBC でないストリーム暗号の RC4 を使うべき的な風潮になってきたところで、今月になって RC4 にも穴(*1)が発表されてちゃぶ台をひっくりかえされる。ということで、安全な設定について考える。Apache mod_ssl で。 _ えーと、まず、RC4 については現時点ではどうしようもない(?)っぽいので、捨てる方向で考える。先月まではとりあえず RC4 を強制しとけ、でも許さ
BIND 10 1.0.0ベータ版レビュー前編:BIND 10の紹介
BIND 10の開発プロジェクトは終了しました。(注記: 2014年9月) BINDの次世代バージョンBIND 10 1.0.0のベータ版がISC(Internet Systems Consortium)から2012年12月20日にリリースされました。正式リリースは来年の1月か2月になると思われますが、現時点での状況を探ってみましょう。 なお、本記事は2回に分けて紹介します。 前編: BIND 10の紹介 (今回) 後編: BIND 10のインストール BIND 10の概要 まず、次の画面を見てください。BIND 10を権威サーバとして動かしているときのpsコマンドの出力結果です。 $ ps axf PID TTY STAT TIME COMMAND 21071 ? Ss 0:00 /usr/local/sbin/bind10 21072 ? S 0:00 \_ b10-sockcreat
(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開) - キャッシュ/権威DNSサーバーの双方が対象、パッチの適用を強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2012/10/10(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 本脆弱性は影響が大き
DNS 7月問題 - どさにっき
2012年7月25日(水) ■ DNS 7月問題 _ べつに誰も期待はしてなかったのに、それでもやっぱり期待は裏切らない BIND さんまじパネェっす。ということで、今年も恒例7月バグが出ました。ここまで続くともはや偶然じゃないよね。 _ 以下、DNS 7月問題のまとめ。最近の脆弱性のまとめではない。ここ数年の「7月」に発覚した問題だけ。この前社内でちらっとネタにした内容に今回の件を追加した改訂版。 _ 2007/07: CVE-2007-2926 BIND 9: cryptographically weak query ids 乱数生成アルゴリズムの欠陥で外部から推測しやすいクエリ ID を生成していたため、キャッシュポイゾニングされやすくなっていた _ 2008/07: CVE-2008-1447 Multiple DNS implementations vulnerable to c
BIND9とAAAAレコードと私(追記あり)
自分のBlogを自宅サーバに移転していてDNSのゾーンファイルを弄っていたのですが変な挙動をしたのでメモします。 バージョンはUbuntuのパッケージ最新版の sakura# named -v BIND 9.7.0-P1 sakura# です。 IPv6ユーザとしてはAレコードよりAAAAレコードが好きなので以下のようにゾーンを定義しました。 ゾーンファイル(Before) sakura# cat yutarommx.com.zone $TTL 180 @ IN SOA yutarommx.com. yutaro.mykw.jp. ( 2012041506 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 15M)
BIND 9系のすべてに重要度の高い脆弱性
ネームサーバであるBIND 9系のすべてのバージョンに、登録を削除したドメイン名が長い期間に渡ってキャッシュに残り続ける脆弱性があることが発表された。この脆弱性を利用されると、たとえ上位レベルのサーバからドメイン名を削除したとしても、長期に渡って削除したはずの名前が解決できてしまう可能性があるという。 この脆弱性は重要度(Severity)が高(High)と位置づけられており、この脆弱性を利用した攻撃は確認されていないとされているものの、緊急度の高い問題があることが説明されている。この問題を一時的に回避する方法や解決するための方法は現在検討中とされており、対策は提供されていない。 通常こうした脆弱性は解決方法が明らかになってから発表されるが、今回はこの脆弱性を説明した資料がすでに広く公開されていること、またパブリックフォーラムで同脆弱性の発表があったことなどから、解決方法を模索している現段
BIND9の脆弱性について
ここ数日、BINDに関わる脆弱性の話題が、ツイッターやMLなどを賑わしている。そこで、今回は、このBINDの脆弱性について書いてみたいと思う。 ■ 今回の脆弱性は何? 今回発見されたBINDの脆弱性は、query.c に起因するバッファオーバーフローだ。ソース名からおわかりいただけるように、DNSに対するQueryに対する脆弱性が発見されている。 今回の脆弱性は、キャッシュサーバに特定のレコードをあらかじめキャッシュさせ、それを呼び出すことでDNSがクラッシュする。 。queryを行う際に特定の攻撃手法を用いることで、適切に処理ができなくなり、クラッシュしていると想定される。 このqueryは、キャッシュ機能と呼ばれる機能に対する脆弱性であるそのため、キャッシュ機能を提供していない場合は、問題のあるバージョンであっても、クラッシュしないと想定される。 ■ 対策するにはどうすればいいの? 現
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「BIND 9」にまたDoS脆弱性、最新バージョンへの更新を~IIJでは乗り換えを推奨 
