DNS デボルブ話
2009年6月16日(火曜日)
DNS デボルブ話
公開: 2009年6月17日0時15分頃
セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で……マイクロソフト セキュリティ アドバイザリ (971888) DNS デボルブ用の更新プログラム (www.microsoft.com)。
不勉強なもので、デボルブという言葉を知りませんでしたが。
「contoso.co.us」のように、ドメイン名に 3 つまたはそれ以上のラベルがある場合、または、DNS サフィックスの一覧を構成していない場合、または、次の問題を緩和する要素に該当するものがない場合、誤りにより、クライアント コンピューターが組織の境界外にあるコンピューターを組織の境界内にあるかのように処理してしまう可能性があります。
(~中略~)
たとえば、western.corp.contoso.co.us ドメインの「Single-label」を見つけている Windows クライアントは、解決するコンピューターを見つけるまで、Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us、Single-label.co.us と次々にクエリを実行します。
たとえば弊社 (www.b-architects.com)のドメイン名はb-architects.comなので、社内で「example」というホストにアクセスしようとした場合、example.b-architects.comを見に行きます。このときはexample.comを見に行ってしまうようなことはないはずです。
ところが、これがb-archietcts.co.jpである場合、example.b-archietcts.co.jpが見つからなかったらexample.co.jpにアクセスしてしまい、しかもそれがイントラネットゾーンとして扱われる……という話のようですね。要はCookie Monsterの話と同じだと思いますが。
実はずいぶん前に「Webプロキシ自動発見(WPAD)の脆弱性」という話があって、そのときはJPRS側で wpad.co.jp などを取れないようにして対応したわけですが、考えてみれば "wpad" という名前に限った話ではないわけで。イントラ内の FQDN でないホスト名を解決しようとする際には、同じ問題が起きていたわけですね。
- 「DNS デボルブ話」にコメントを書く
- 前(古い): visited疑似クラスのビーコン話ふたたび
- 次(新しい): 七回死んだ男
