AX-VU2008-03「DNSサーバにおけるキャッシュポイズニングの脆弱性」に関するご報告

AX第1版 2008-9-26

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、DNS サーバにおけるキャッシュポイズニングの脆弱性についてご報告します。

出典

概要

DNS(Domain Name System)はインターネットにおけるホスト名とIPアドレスの対応づけをおこなうための分散型データベースシステムです。DNSキャッシュサーバは、負荷分散や高速化の目的のため上位サーバに対する検索結果(ホスト名とIPアドレスの組)をキャッシュし、クライアントからの同一要求に対してはキャッシュの内容をもとに応答を返します。キャッシュポイズニングに関する脆弱性は、悪意をもった攻撃者によりキャッシュの内容が汚染される可能性に関する問題になります。これにより、汚染されたDNSキャッシュサーバを参照しているクライアントから、本来アクセスすべきホストとは異なるホストへアクセスしてしまう問題を引き起こす可能性があります。

影響

弊社の製品では、AX620Rを除き、本脆弱性の影響は受けません。これは、DNSサーバ機能を含まないことと、DNSリゾルバ機能およびDNSリレー機能で一時的なキャッシュを生成しないためです。
AX620Rでは、プロキシDNSとDNSリゾルバ機能、DNSキャッシュ機能(デフォルト無効)をサポートしており、本脆弱性問題の影響を受けます。

回避方法

AX620Rを使用する場合、悪意をもった第三者により、攻撃を受ける可能性がある環境では、DNSキャッシュ機能は使用しないようにしてください。DNSキャッシュ機能は、デフォルト「無効」です。
DNSキャッシュ機能を「有効」にしているユーザは、以下のコマンドを投入して無効化をしてください。
Router(config)# no dns chache enable

対策

本脆弱性に対し、AX620Rでは、DNS queryパケットの送信元ポートをDNS query毎にランダムにする機能を追加したソフトウエアをリリースしています。

対策
# 装置シリーズ名 対策バージョン
1 AX2000R 本脆弱性には該当しません
2 AX7700R 本脆弱性には該当しません
3 AX7800R 本脆弱性には該当しません
4 AX7800S 本脆弱性には該当しません
5 AX5400S 本脆弱性には該当しません
6 AX6300S 本脆弱性には該当しません
7 AX6700S 本脆弱性には該当しません
8 AX3600S 本脆弱性には該当しません
9 AX2400S 本脆弱性には該当しません
10 AX1200S 本脆弱性には該当しません
11 AX620R 8.2.19以降

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウエアの入手方法

ソフトウエアの入手につきましては、ご購入元にご確認ください。