Last Updated on 2024-06-14 05:19 by 門倉 朋宏
Microsoftは、DNSSECプロトコルの危険な脆弱性に対するパッチを他の多くの関係者より遅れてリリースしました。この脆弱性は、特定のDNSSECメカニズム「Next Secure Hash 3 (NSEC3)」に存在し、攻撃者がDNSリゾルバの計算リソースを枯渇させるDNSパケットを作成することを可能にします。CVE-2023-50868として識別されたこの脆弱性は、Unbound、BIND、dnsmasq、PowerDNS、さまざまなLinuxディストリビューションなど、複数のベンダーやプロジェクトに影響を与え、Microsoft以外の多くが以前にパッチをリリースしていました。
CVE-2023-50387という、より深刻なDNSSECリソース枯渇バグも存在し、攻撃者がインターネットの大部分をダウンさせる可能性があったと考えられています。この脆弱性は、攻撃者が単一のパケットを使用して脆弱なDNSサーバーの処理能力を枯渇させることができる点で危険でした。CVE-2023-50868も同様に、攻撃者がDNSリゾルバのCPUサイクルを消耗させ、応答不能にする方法を提供します。
Microsoftは、他の主要なDNS解決サービスプロバイダーが脅威に対する緩和策を開発した後、2月に両方のDNSSEC脆弱性の詳細を公開した際、CVE-2023-50868に対する修正を発表するまで待ちました。これにより、少なくともMicrosoftの観点からは、このバグがゼロデイの脅威となりました。脆弱性の修正に時間がかかった理由は不明ですが、Microsoftがこの問題に対する修正をリリースするのに他のベンダーよりも長くかかった理由についての説明が求められています。
【ニュース解説】
MicrosoftがDNSSEC(Domain Name System Security Extensions)プロトコルの危険な脆弱性に対して、他の多くの関係者よりも遅れてパッチをリリースしたことが話題となっています。この脆弱性は、特に「Next Secure Hash 3 (NSEC3)」と呼ばれるDNSSECのメカニズムに関連しており、攻撃者がDNSリゾルバの計算リソースを枯渇させることを可能にするDNSパケットを作成できるようにします。この問題はCVE-2023-50868として識別され、Unbound、BIND、dnsmasq、PowerDNS、さまざまなLinuxディストリビューションなど、複数のベンダーやプロジェクトに影響を及ぼしました。
さらに、CVE-2023-50387という、より深刻なDNSSECリソース枯渇バグも存在し、攻撃者が単一のパケットを使用して脆弱なDNSサーバーの処理能力を枯渇させ、インターネットの大部分をダウンさせる可能性があると考えられています。CVE-2023-50868も同様に、攻撃者がDNSリゾルバのCPUサイクルを消耗させ、応答不能にする方法を提供します。
このような脆弱性は、インターネットの基盤となる技術やプロトコルに存在するため、業界全体での対応が必要とされます。MicrosoftがCVE-2023-50868に対する修正を他のベンダーよりも遅れてリリースした理由は明らかにされていませんが、この遅れが業界内でどのような影響を与えるか、またMicrosoftが今後このような問題にどのように対応するかについての説明が求められています。
この問題の解決には、アルゴリズムの実装方法の再考や、過度な計算を要求する仕様からの逸脱など、根本的な設計の見直しが必要になる場合があります。また、サーバーがリクエストを優先順位付けする方法のより根本的な再設計によって、一つのクライアントが他のクライアントのリクエストのタイムリーな応答を妨げることがないようにする必要があるかもしれません。
このような脆弱性への対応は、単一の企業や組織だけでなく、業界全体での協力と共同作業を必要とします。過去には、OpenSSLのHeartbleed脆弱性やBluetoothプロトコルの脆弱性など、プロトコルレベルでの脆弱性に対して業界が一丸となって対応してきた例があります。このような協力体制は、インターネットの安全性と信頼性を維持する上で非常に重要です。
最終的に、この事件は、脆弱性対応の迅速性と効率性において業界全体での改善が必要であること、そして脆弱性の発見から修正までのプロセスにおいて、より良い協力とコミュニケーションが求められていることを示しています。
from Microsoft, Late to the Game on Dangerous DNSSEC Zero-Day Flaw.
