1. DNS/サービス＿さくら/脆弱性

一般公開 -- ToshinoriMaeno 2012-09-04 14:58:35

Contents

現在のさくらDNSサービスには不十分な登録制限はあるものの、

   原則として「誰でもなんでも登録」できる。

こういう共用のDNSサービスを安全に使うのは非常に大変です。

「通常のDNS運用とは違った留意点」があるのに、注意を怠ったあるいは気づかなかった。さくらには何度も警告したが、理解されなかった。修正しようとして、大穴をあけた。(6月初め)

さくらも危険性を承知しているようだ。「将来は所有確認する」と言っている(「お知らせ6/29」)が、

登録時に所有確認するだけでは十分ではない。(定期的に確認することが重要)

1.1. 存在していた脆弱性

確認出来ただけでも、以下の問題がある。(解消されているかどうかは不明)

スーパードメイン登録 (先祖) [2012-04-04 田中さんに連絡; 当初は軽微かと思ったが、のちに中程度と判明]
サブドメイン登録 (子孫) [2012-06-1x 徳丸さん経由でさくらに連絡;重大な脆弱性]
- http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html
兄弟ドメイン登録 (JPなどの直下のドメインを除く) [2012-07-xx 確認、鈴木常彦さん経由で報告]

いずれもcookie漏洩などを起こす可能性があるという危険なもの。(徳丸さんの日記に影響の解説がある)

これら以外にさくらが直接の責任を負うべきものとは言えないが、以前から分かっているもの。

[JPなどの]上位サーバにさくらのDNSを権威サーバとして登録しているにもかかわらず、ゾーンが作られていないものがある。
- 空家とでも呼ぶべき状態のものも多数ある。(有名ドメインだと、フィッシングに使われる可能性が大きい)

DNS Summer Days 2012 2日目の田中氏の講演のtsudari を見る限り、記録者には正確な情報が伝わっていない。

キャッシュサーバ兼用にしたことが影響しているかのように記録されているが、

さくらの権威サーバがキャッシュを兼用していたことはない。(2012-04 ~ ) -- ToshinoriMaeno 2012-09-04 15:15:31

さくらから../お知らせが出てたので対策されたという脆弱性をまとめてみる。

これらが本当に「対策されたか」(実装が正しいか)は疑問である。

「お知らせ」にある対策は登録制限（5項目）だ。これでは十分ではない。

これらを言葉通りに解釈したときに、「登録できないはずのもの」を登録できることを確認している。
- 一部は実装の間違いだったらしく、修正されたが、特に公表されていない。

所有確認を予定しているとのことだが、いつになるかは公表されていない。

ドメイン乗取りが可能なケースは（実質）危険性がないという判断らしく、対策されていない。

兄弟ドメインを登録できるという脆弱性

-- ToshinoriMaeno 2012-07-21 22:30:17

DNS/サービス＿さくらより(3. さくらDNSの問題)

ドメイン所有の検査をしていない。（DNSサービスはどこも似たような話という説も聞くが、本当か）
- レジストラのおまけのDNSサーバは取得したドメインしか登録できないものが多いようだ。
ドメインとサブドメインをおなじサーバでDNSサービスしている。
- 委譲されていないのに、サブドメインが見えてしまう。(BINDサーバなどでもあるらしい）
  - 前野はこれはサーバの実装不良だと考えている。
ドメインが登録されているときに、その登録者と異なる人がサブドメインを登録できるという不良(脆弱性）
- 6月８日に混入したとの説明。（これ以前にあったかどうかは不明）
ドメインが登録されていないときに、あらかじめサブドメインを登録しておくことで、落とし穴を作れる。
- ドメイン登録時にエラーにするという仕様だという説明があったが、実装はそうではなかった。
- 4月中旬に発見して報告したが、６月初めまで対策されなかった。

情報公開が不十分、どこかにドキュメントがあってもわかりづらい。隠そうとしているのかと思ってしまう。 -- ToshinoriMaeno 2012-07-18 23:36:59