Last update 2017.02.16


2007年5月の月例アップデートに含まれているMS07-029で対策されましたので、パッチ適用をした場合は下記対策は不要です。

パッチを適用していないグローバルセグメント配置 DNS は直ちにパッチを適用して下さい。
ActiveDirectory のDNS 脆弱性に対応する場合もパッチ適用が最適です。


1 MS-DNS に脆弱性あり

 MS-DNS の脆弱性が発表されました。かなりヤバい脆弱性なので、MS-DNS をインターネット上に公開している方は対処してください。

 僕の本を読んでインターネット環境を構築された場合は、MS-DNS でインターネットに対しての名前解決サービスを提供しているはずです。「Windows Server 2003 実践ガイド」では Windows Firewall の設定するように書いています(P.329)が、今一度設定を確認して下さい。更なるセキュリティアップをするために、対処(レジストリの変更)をお勧めします。

 MSからのオフィシャルアドバイザリは、MSのセキュリティアドバイザリ(935964)にあります。

2 何が起きるの?

 MS-DNS にバッファオーバーフロー脆弱性があり、攻撃者が MS-DNS を稼働させているサーバで任意のコードを実行させる事が可能です。(つまり、サーバを乗っ取って好き放題出来てしまう)

3 危険なDNSはどんなの?

 裸で(tcp/udp53以外のアクセスを許可している)インターネット公開している MS-DNS(Windows 2000/2003) がヤバいです。(まず無いとは思いますが...)

 ドメインコントローラの DNS にも同様な脆弱性がありますが、対策を施すと別の障害が起きる可能性があるので、対応パッチが出るまで待つのが良策です。
 ドメインコントローラのレジストリ変更対応は稼働実績があるとの事なので大丈夫とは思いますが、ドメインコントローラに障害が起きると業務に致命的な影響を与えかねないので、ドメインコントローラへの適用はお勧めしません。

4 どんな対策をすればいいの?

・レジストリ更新

 レジストリを更新して、DNS の RPC コントロールを無効にします。MSのサイトにもありますが、アップデート用のレジストリ更新用のファイルを僕も作っているので、欲しい方はダウンロードして下さい。ただし、ドメインコントローラに対する適用はお勧めしません。

 レジストリ更新後に DNS を再起動します。(OS再起動でも OK)

 蛇足ですが、拙宅の DNS はレジスト更新済みで、今のところ問題は起きていません。

・アクセス可能ポート制限

 DNSのみのサービス提供であれば、TCP/UDP53 だけがインターネット側からアクセス可能になっていれば事足ります。これ以外のポートが開いている場合は、パケットフィルタリングが出来る装置(ルータとかファイヤウォール)でアクセス制限をして下さい。
 念には念を入れて、 Windows firewall でも同様にアクセス制限をします。(Windows Server 2003 実践ガイド P.329)

 ヤバいポートは以下の通り

・TCP/UDP445
・TCP/UDP139
・TCP/UDP1024-すべて

 このアクセス設定をドメインコントローラにすると、ドメインコントローラとしての機能が出来なくなってしまうので、間違ってもドメインコントローラにはアクセス制限を設定しないで下さい
 対策セキュリティパッチは、2007年5月の定例パッチリリースで提供される予定なので、ドメインコントローラはセキュリティパッチが出るのを待つのがお勧めです。

・Microsoft Update/Windows Update

 インターネット上に公開しているサーバは常時アタックを受けていますので、パッチ適用が常に最新状態になるようにするのが大原則です。

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.