コンポーネント

ファイアウォールベンダーがDNS問題を解決するためにスクランブルする

インターネットのドメインネームシステムの重大な欠陥が最初に報告されてから約1ヵ月後、最も広く使われているファイアウォールソフトウェアのベンダーは、このバグに対処するパッチの一部を本質的に取り消すことができる問題を解決するために、 > DNSの脆弱性は、Microsoft、Cisco Systems、およびInternet Systems Consortiumを含む多くのベンダーが作成したサーバーソフトウェアに影響します。

一部のファイアウォールソフトウェアは、DNSパッチに導入されたソースポートのランダム化機能を元に戻します。この変更がDNSパッチを完全に無効にするわけではありませんが、攻撃者がDNSサーバーに対するキャッシュポイズニング攻撃を容易にする可能性があるとセキュリティ専門家は言います。

[さらに読む:メディアストリーミングおよび

IP(Internet Protocol)アドレス変換を行うファイアウォール - 内部ネットワーク上のコンピュータが使用するIPアドレスを異なるIPアドレスに変換するファイアウォールインターネット上の他のコンピュータで使用されているものは、ソースポートの無作為化を元に戻すことができるとセキュリティ専門家は述べています。最初に発見されたIOActiveの研究者Dan Kaminskyは、 DNSのバグ。 「これはある程度私たちのせいだ」とEメールのインタビューで述べた。 「シスコ、ジュニパー、Citrix、およびその他の多くのファイアウォールベンダーは、機器のアップデートのために絶対に争っていた」と彼は付け加えた。「我々は、DNSサーバの前に展開されたファイアウォールの数を過小評価している。

シスコは、水曜日、DNS問題に関するセキュリティアドバイザリーを更新して、顧客に問題の対処方法のガイダンスを提供すると、Ciscoの取締役であるRuss Smoak氏は述べています。製品セキュリティインシデント対応チームこの問題は、ポートアドレス変換(PAT)を行うためにファイアウォールを使用しているシスコのお客様に影響を与えると同氏は述べています。 「PATファイアウォールをお持ちの場合は、ドキュメントを見て、ネットワークの構成を理解し、提供されている修正が必要な場合は、修正プログラムをインストールすることです。」

管理者は、ポートアドレスが変換されていないサーバにDNSルックアップを転送したり、ファイアウォールを再設定したりすることができる、とカミンスキー氏は述べている(

)。ジュニパーネットワークスは、

すべてのファイアウォールベンダーが影響を受けるわけではありません。たとえば、チェック・ポイント・ソフトウェアは、ファイアウォールにこのような問題がないと述べています。

KaminskyのDNSの欠陥は、このようなさまざまな製品に影響を与え、パッチプロセスにいくつかの不具合があったことは驚きではありません。今週初めに、DNS専門家は、作成したパッチが、トラフィックの多いサーバー(1秒あたり10,000クエリを超えるヒットしたサーバー)のパフォーマンスを低下させると報告しました。 9日(米国時間)、セキュリティベンダーのnCircle氏は、アップル社のDNS問題に対する修正が適切に機能していないと報告している。

インターネットシステムコンソーシアムのPaul Vixie会長は、ポート変換の問題を「大きな問題」と呼んでいる。状況の深刻さを理解し始めた。カミンスキー氏が最初に問題について話し合ったとき、一部のセキュリティ専門家は、この問題は単に既知の問題の再発であると言いました。

しかし、先週バグが誤って公開された後、懐疑的な意見が出ました。彼は電子メールで言った。 「しかし、少なくとも、過激な、緊急ではないメッセージで、水を混乱させるデニールはもういない」(PC World's Will Schultzがこの記事に貢献した)