インフラセキュリティの処方箋
第2回 ネットの夏,BIND・OpenSSL脆弱性の夏
ネットの夏,BIND脆弱性の夏~夏のBIND脆弱性祭り
7月になって,
この数年,日本の夏はBINDにとって厳しい季節
別にこれは,
BIND関連の脆弱性情報は,
ISCのページからは,
2009年~2013年の5年間を見ると,
DoS攻撃が多いのが不幸中の幸い
ここまでは,
多くのものは,
他の月の脆弱性を見ると,
DNSには,機構的にDoS以外の脆弱な面もあることを知ろう
ここまでに挙げて来たのは,
キャッシュサーバ側での対処であるSource Port Randomizationをはじめとする対策を施すことで,
ゾーンサーバ
参考:2009年~2014年のBIND脆弱性情報
以下は,
2014年のBIND脆弱性情報
まだ今年も途中ですが,
- 2014-06-12 (緊急)
BIND 9. 10. xの脆弱性 (DNSサービスの停止) について (2014年6月12日公開) - 2014-05-09 (緊急)
BIND 9. 10. 0の脆弱性 (DNSサービスの停止) について (2014年5月9日公開) - 2014-01-14 (緊急)
BIND 9. xの脆弱性 (DNSサービスの停止) について (2014年1月14日公開)
2013年のBIND脆弱性情報
2013年は,
- 2013-11-07 BIND 9.
xの脆弱性 (サービス提供者が意図しないアクセスの許可) について (2013年11月7日公開) - 2013-07-27 (緊急)
BIND 9. xの脆弱性 (DNSサービスの停止) について (2013年7月27日公開) - 2013-06-05 (緊急)
BIND 9. xの脆弱性 (DNSサービスの停止) について (2013年6月5日公開) - 2013-03-27 (緊急)
BIND 9. xの致命的な脆弱性 (過度のメモリ消費) について (2013年3月27日公開) - 2013-01-25 BIND 9.
8.x/ 9. 9.xにおけるDNS64/ RPZの実装上のバグによるnamedのサービス停止について (2013年1月25日公開)
2012年のBIND脆弱性情報
2012年は7月に2件,
- 2012-12-05 BIND 9.
8.x/ 9. 9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について (2012年12月5日公開) - 2012-10-10 (緊急)
BIND 9. xの脆弱性 (サービス停止) について (2012年10月10日公開) - 2012-09-13 (緊急)
BIND 9. xの脆弱性 (サービス停止) について - 2012-07-25 BIND 9.
9.xの大量のTCP問い合わせ受信時におけるメモリリーク発生について - 2012-07-25 BIND 9.
xの大量のDNSSEC検証要求受信時におけるサービス停止について - 2012-06-05 (緊急)
BIND 9. xの脆弱性 (サービス停止を含む) について
2011年のBIND脆弱性情報
2011年は,
- 2011-12-07 (緊急)
BIND 9. xのキャッシュDNSサーバー機能の実装上の問題によるnamedのサービス停止について - 2011-12-05 BIND 9.
8.x/ 9. 9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について (2012年12月5日公開) - 2011-07-08 (緊急)
BIND 9. xの脆弱性を利用したサービス不能 (DoS) 攻撃について - 2011-07-08 BIND 9.
8.xのResponse Policy Zones (RPZ) 機能の実装上のバグによるnamedのサービス停止について - 2011-06-01 (緊急)
BIND 9. xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について - 2011-05-09 BIND 9.
8.0のResponse Policy Zones (RPZ) 機能の脆弱性を利用したサービス不能 (DoS) 攻撃について - 2011-02-23 (緊急)
BIND 9. 7.xの脆弱性を利用したサービス不能 (DoS) 攻撃について
2010年のBIND脆弱性情報
2010年は,
- 2010-12-15 (緊急)
BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について - 2010-12-02 BIND 9のallow-queryによるアクセス制限の不具合について
- 2010-07-16 (緊急)
BIND 9. 7.1/ 9. 7.1-P1におけるRRSIGレコード処理の不具合について - 2010-01-20 BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について(第3版)
2009年のBIND脆弱性情報
2009年は,
- 2009-07-29 (緊急)
BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について
4月~6月のOpenSSL脆弱性祭り~何がどの程度危険なの?
ほぼ今さら感があるOpenSSL脆弱性祭りですが,
HeartbleedはDeNAの開発者blogに,
対処については,
脆弱性によって引き起こされる事象によっては,
また,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題