질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고

작성자 정보

  • 박성수 작성
  • 작성일

컨텐츠 정보

본문

DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고
 
 
등록일 
 2008/07/10

 

자료제공 : 한국정보보호진흥원 인터넷침해사고대응지원센터(KRCERT)
 
 
내용 
 DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고

□ 개요
  o DNS 캐시 포이즈닝이 가능한 신규 취약점들이 발견되어 DNS 관리자의 주의를 요함[1]
  o 본 취약점은 DNS에서 DNS transaction ID와 source port number를 부여할 때,
     예상하기 쉬운 임의의 값을 생성하기 때문에 발생함
     ※ 해당 신규 취약점들은 기존 알려진 내용을 기반으로 효율적인 공격이 가능하도록 함

□ 해당시스템
  o 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스템
    Cisco Systems, Inc.  
    Debian GNU/Linux  
    Infoblox  
    Internet Software Consortium
    Juniper Networks, Inc.
    Microsoft Corporation
    Nominum
    Red Hat, Inc.
    Sun Microsystems, Inc.
    Wind River Systems, Inc. 등

□ 영향
  o 공격자는 해당 취약점을 이용하여 DNS 쿼리 정보를 변경할 수 있음
    - 공격 성공 시, DNS 쿼리 데이터 변경, 삭제 등의 작업 가능
       (피싱, 악성코드 유포등에 악용될 수 있음)

□ 해결 방안
  o 캐시/리졸빙 DNS 서버로 사용되는 시스템을 운영 중이라면, 해당 보안 취약점에 대비하고,
     시스템 성능 향상을 위하여 각 벤더사의 DNS 최신 버젼으로 업그레이드를 권고[2][3]

  o 패치가 어려울 경우, 신뢰할 수 있는 호스트에 대해서만 recursive query에 대한 응답이
     가능하도록 설정할 것을 권고

  o Recursion 기능이 필요하지 않을 경우, Disable(비활성화)시킬 것을 권고

  o 보안 장비(방화벽, 침입탐지시스템, 침입방지시스템 등), 네트워크 장비 등에서
     DNS 서비스를 사용 중이라면, 비활성화(disable) 시킬 것을 권고
    - 특히 BIND는 방화벽과 라우터에서 DNS 서비스로 자주 사용되기 때문에,
       만일 필요로 하지 않는 서비스라면, 비활성화 시킬 것을 권고

□ 참조 사이트
     [1] http://www.kb.cert.org/vuls/id/800113
     [2] http://www.isc.org/index.pl?/sw/bind
     [3] http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
     [4] http://www.securityfocus.com/brief/779

[참고]
1. F.A.Q

  o 캐시/리졸빙 DNS에서만 영향을 받나요?
      - 네, 해당 취약점은 캐시/리졸빙을 하지 않는 DNS에는 영향을 주지 않습니다.

  o 캐시 포이즈닝이란 무엇입니까?
      - DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보가 위,변조되는 것을 말합니다.

  o 어떻게 취약한지 확인할 수 있나요?
     - 다음 명령 실행 결과 아래와 같은 응답을 받는다면, 취약하다고 볼 수 있습니다.

       1) 취약점 확인 방법: 
          $ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT

          가. 취약점 존재 DNS 확인 결과 :
          z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.
          ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"

          나. 정상 DNS 확인 결과 :
          z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD
          is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"

2. 기타 문의사항

  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118
 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,083 명
  • 현재 강좌수 :  36,024 개
  • 현재 접속자 :  173 명