Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対してパッチを当てる緊急性が何段階か跳ね上がっている。
このセキュリティホールを利用する、対象の名前サーバのキャッシュに悪意のあるDNSレコードを埋め込むことを可能にする概念実証コードが、無料で配布されている攻撃・侵入テストツールであるMetasploitに追加された。
Metasploitを作ったHD Moore氏によれば、この概念実証コードの作成には|)ruidの研究者と協力しており、この脆弱性実証コードを支援するためにDNSサービスも作成されたという。
(参照:脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する)
このコードはここで提供されており、深刻なキャッシュポイズニング攻撃を行うことを可能にするDNSプロトコルと一般的なDNSの実装に存在する既知の欠陥に狙いを定めたものだ。
この概念実証コードは、対象となる名前サーバに悪意のあるホストエントリをキャッシュさせる。対象となる名前サーバに対し、対象となるドメインの無作為のホスト名に対する問い合わせを行うことで、攻撃者は対象となるサーバへの応答を偽造することが可能になる。この応答には問い合わせに対する回答、オーソリティサーバレコード、そのサーバに対する追加レコード1件が含まれ、対象となる名前サーバのキャッシュにレコードを挿入する。
私とのインスタントメッセージの中で、Moore氏はこの概念実証コードはDNSキャッシュをポイズニングするのに1分か2分程度しかかからないと話しており、これを改善するためにバージョン2.0に取り組んでいるという。
Kaminsky氏は、公に数秒間で攻撃を成功させることも可能だと述べている。
どうか、すぐにパッチを適用して欲しい。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
関連情報
-
脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する
7月8日に多くのベンダが同時にパッチを公開したDNSに関する脆弱性に関する秘密は、発見者のKaminsky氏や関係者が守ろうとした30日間よりもずっと早く明らかになった。この背後で起こった出来事についてまとめる。 - Halvar氏がトップシークレットのDNS脆弱性の内容を看破
- Dan Kaminsky氏がDNSを破る:大規模なマルチベンダパッチが公開される
「セキュリティ」 の新着情報
-
月額498円でノートン先生が保護--イー・モバイル、月額版ノートン 360提供
シマンテックは、イー・モバイルの月額制オプションサービス「EMセキュリティ」のユーザーを対象に、セキュリティソフト「ノ... - 日本PGP、ホワイトリスト活用するデータ保護とアプリ制御の新製品を発表
- TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
- MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
- 三井住友銀行、投資銀行部門のEUC基盤でセキュリティ対策強化
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
jailbreakされたiPhoneがハックされ、5ドルを要求される
jailbreakされたiPhoneにインストールされてるSSHデーモンに、デフォルトのrootパスワードが設定されている問題を利用して、自動的に攻撃が仕掛けられる事件が起こった。 -
フィッシング実験ですべてのスパムフィルタを迂回することに成功
-
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
- Zero Day 一覧へ »
-
日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- 中堅企業におけるテクノロジーと成長
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- 電力消費量を可視化〜!身近なPC管理から始めるグリーンIT統制〜
- 自動車業界におけるトレンドと課題 −グローバルな成功へと導くソリューション− I...
- ITコスト削減の傾向と対策 〜情報システム部様限定〜
- パンデミックでも社員を守り業務継続を支援する
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- 大容量ファイル、機密情報データの受渡しに! ~~ ファイルエクスプレス ~~
- VMware ESX ServerやCitrix XenServerの仮想環境を丸ごとバックアップ・復元
企画特集
-
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは?
Intel Video Series
-
1.並列性のための包括的ソリューション
Intel Parallel Studioが、いかにVisual Studioを拡張し、並列プログラ... -
2.Advisor概要
Intel Parallel Advisorについての2分間の概要紹介で、プログラマが自分...
新着企業動向
-
ウォルフソン、半導体開発センターを開設
ウォルフソン・マイクロエレクトロニクス -
TIS・日本HP・ネクスウェイ共催 “現場力”最大化を見据えた“攻めのIT投資”事例セミナー
ネクスウェイ -
事例のご紹介 Vol.14 | 情報インフラの全体最適化
EMCジャパン -
WisePointシリーズ
ファルコンシステムコンサルティング - 企業動向一覧へ»
