水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > DNS デボルブ話

DNS デボルブ話

2009年6月16日(火曜日)

DNS デボルブ話

公開: 2009年6月17日0時15分頃

セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で……マイクロソフト セキュリティ アドバイザリ (971888) DNS デボルブ用の更新プログラム (www.microsoft.com)

不勉強なもので、デボルブという言葉を知りませんでしたが。

「contoso.co.us」のように、ドメイン名に 3 つまたはそれ以上のラベルがある場合、または、DNS サフィックスの一覧を構成していない場合、または、次の問題を緩和する要素に該当するものがない場合、誤りにより、クライアント コンピューターが組織の境界外にあるコンピューターを組織の境界内にあるかのように処理してしまう可能性があります。

(~中略~)

たとえば、western.corp.contoso.co.us ドメインの「Single-label」を見つけている Windows クライアントは、解決するコンピューターを見つけるまで、Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us、Single-label.co.us と次々にクエリを実行します。

たとえば弊社 (www.b-architects.com)のドメイン名はb-architects.comなので、社内で「example」というホストにアクセスしようとした場合、example.b-architects.comを見に行きます。このときはexample.comを見に行ってしまうようなことはないはずです。

ところが、これがb-archietcts.co.jpである場合、example.b-archietcts.co.jpが見つからなかったらexample.co.jpにアクセスしてしまい、しかもそれがイントラネットゾーンとして扱われる……という話のようですね。要はCookie Monsterの話と同じだと思いますが。

実はずいぶん前に「Webプロキシ自動発見(WPAD)の脆弱性」という話があって、そのときはJPRS側で wpad.co.jp などを取れないようにして対応したわけですが、考えてみれば "wpad" という名前に限った話ではないわけで。イントラ内の FQDN でないホスト名を解決しようとする際には、同じ問題が起きていたわけですね。

関連する話題: DNS / セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト