DNSソフトに脆弱性

全てのDNSサーバに脆弱性があり「遠隔の第三者によってリソース枯渇によるサービス運用妨害 (DoS) 攻撃を受ける可能性」がある模様。

詳細はJVNVU#91812636: 再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題が詳しい。

Ubuntuではbind9 CVEs in UbuntuにはCVE-2014-8500が出ているが、unbound CVEs in Ubuntuはまだ無い。

10月のPOODLE騒動でも続報。TLS実装でもパディングバイトのチェックは完全ではなく、TLS実装としては機能するがエラーのチェックはできないらしい。ってどういう事？

参照

INTERNET Watch http://internet.watch.impress.co.jp/

• 「BIND 9」「Unbound」「PowerDNS Recursor」全バージョンなどに大きな脆弱性 2014年12月9日

ITpro http://itpro.nikkeibp.co.jp/

• DNSの仕様自体に起因する重大な脆弱性が見つかる、JPRSが対策呼びかけ 2014年12月9日

＠IT http://www.atmarkit.co.jp/

• DNSの基本仕様のあいまいさに根本原因、対策は修正版へのアップデート：「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性 2014年12月10日

ZDNet Japan http://japan.zdnet.com/

• SSL 3.0の脆弱性「POODLE」について知っておくべきこと 2014年10月23日
• SSLv3脆弱性「POODLE」、TLSにも影響–グーグルの専門家が指摘 2014年12月10日

JPRS http://jprs.jp/

• （緊急）複数のDNSソフトウェアにおける脆弱性（システム資源の過度な消費）について（2014年12月9日公開） 2014年12月9日

JPCERT コーディネーションセンター https://www.jpcert.or.jp/

• ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起 2014年12月9日

Japan Vulnerability Notes http://jvn.jp/

• JVNVU#91812636: 再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題 2014年12月10日

Ubuntu http://www.ubuntu.com/

• USN-2437-1: Bind vulnerability 2014年12月9日

Ubuntu CVE Tracker http://people.canonical.com/~ubuntu-security/cve/

• bind9
• unbound

ImperialViolet.org https://www.imperialviolet.org/

• POODLE attacks on SSLv3 2014年10月14日
• The POODLE bites again 2014年12月8日