1. KiyoshiSatoh/JPRS-622
JPRSの注意喚起(6/22)について議論するためのページです。
- 疑問に思ったことがあるはずなので、書いてみてください。私も読み直し中です。
JPRSの注意喚起:サービス運用上の問題に起因するドメイン名ハイジャックの危険性について http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html
[さくらに]任意のゾーン追加(登録)できるということがそのまま脆弱ということにはならないこと
- さとうさんはここが理解できていないのではないかという心配が消えません。
勝手なものを自由に登録させると、危険になるのは当然なので、
脆弱でないようにするにはどうするのがいいか。どういう場合に危険が生じるか、
という配慮が必要なのですが、さくら(実装者)はまったく考慮していなかったようにみえます。
- (その後の対応も見ていても、指摘された問題を修正するという姿勢しかみられない。 我々の知らないことがひとつでも「お知らせ」にあったのなら、そうも言えないのですが)
2. なぜ危険があるか
DNSサーバの実装に問題があるものがあります。同一サーバ上のゾーンファイル(BIND特有の概念らしい)に関して、
委譲されていないにもかかわらず、独立して作成したゾーンを委譲があったかのごとく扱うというものです。
JPRSはこのことを書きたくなかったのでしょう。
- 運用上の問題だけであるかのように書いていますが、あれは「ごまかし」です。
以下のようにはっきり書いてあるのです。
具体的には、example.jp の任意のサブドメイン、例えば sub.example.jp を、悪意を持つ第三者が example.jp と同一の権威DNSサーバー、つまり同 一IPアドレス上に作成可能であった場合、example.jp に対するドメイン名 ハイジャックが成立することになります。 また、悪意を持つ第三者がサブドメイン sub.example.jp をあらかじめ作成 しておき、example.jp の正当な利用者が当該サービスを新規利用する際に 同様の状況が発生するように、トラップを仕掛けられる危険性があります。
サブドメイン(ゾーン)を親ドメインと『同じコンテンツ(権威)サーバ』上に作成可能
- 悪意の第三者かどうかは目くらましの言葉です。どちらを先に作るかによって、「呼び名」が変わる。
「委譲の有無に関係なく、委譲されたものとして扱う」という不良です。
- 世間の多くのサーバが同じ動作をするので、不良と決めつけられない立場なのでしょう。
これまでのサービスでは、この不良を避けるための工夫をしてきていたようですが、
- さくらのサービス担当には伝承されなかったようですし、「大半の同業者」もきっとそうなんでしょう。
これが業界の問題であることは明らかです。そのことに気づかない(なかった)のもまずいです。
3. どういう危険があるか
「登録ずみのドメインのサブドメイン」を勝手に登録されると危険だということは分かっておられると思うので省略します。
サブドメインを先に登録しておくという(「落とし穴」はどういう場合に有効か。前野がさくらに指摘した案件)
- 登録済みのサブドメインがあった場合に、スーパードメインを登録できるとどういうまずいことが起きるか。
hakuba ページに以下のように書かれています。
「あるサブドメインが登録されていたときに登録者ではない他者がスーパードメインを登録できた」とのことなのですが、 これが具体的にどんなことを指しているのか理解できていません。
- 十分具体的なので、あとは例題くらいですね。スーパードメインという言葉が分かりませんか。
- サブドメインとは逆方向の関係です。
-- ToshinoriMaeno 2012-07-10 11:30:12
JPRSには通告ずみだが、書かれていないことももちろんあります。
- さくらのお知らせには書かれています。それを指摘してください。