blob: 4399c9303b83b3bdeb675e942809cace35c723bc (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#use wml::debian::translation-check translation="e9bafcd753e828e83ea8a21cadc900565a610f85"
<define-tag description>DNS キャッシュポイゾニング攻撃</define-tag>
<define-tag moreinfo>
<p>Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS
詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されま
した。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイト
に不正転送することが可能で、それ以外の攻撃手法もありえます。</p>
<p>BIND 8 の古いコードベースでは、推奨される対抗策 (UDP クエリソースポー
トのランダム化。<a href="dsa-1603">DSA-1603-1</a> 参照) を実装することは困難です。以下の回避
策は可能です。</p>
<p>1. BIND 9、またはソースポートランダムか機能を持つ別の実装にアップグレ
ードする。BIND 9 の添付文書に移行ガイドが含まれています。</p>
<p>2. BIND 8 リゾルバを、BIND 9 リゾルバにクエリを転送するように設定する。
リゾルバ間のネットワークが信用できる場合、これにより BIND 8 リゾルバを
キャッシュポイゾニング攻撃から護る (BIND 9 リゾルバの保護と同程度に)
ことができます。</p>
<p>この問題は、authoritative DNS サーバとして BIND 8 を使った場合には影響
がありません。理論上はこの方法で BIND 8 を安全に使うことは可能ですが、
それでも BIND 9 への移行を強く推奨します。BIND 8 (bind パッケージ) は、
将来の etch のポイントリリースで削除する予定です。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1604.data"
# $Id$
|
