MicrosoftDNSサーバに脆弱性
RPC周りにバッファオーバーフローの問題があるようだ。とりあえず日本語記事。
まぁ、DNS本来の機能に問題があるわけではないので、パッチがなくとも回避可能という点では影響は軽微かもしれない。
ちなみに、回避方法は、
レジストリエディタでHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\RpcProtocolを作成し、値(DWORD)を4にしてDNSサーバ再起動、でRPCのインターフェースがローカルのみになるのでリモート攻撃を防御できる。値を0にすればRPCそのものが無効になるのでローカルの攻撃も除外できてより安全。
ただし、RPCを利用したDNSサーバの管理ができなくなる副作用があるのに注意が必要。
…とアドバイザリには書いてあるような気がする(爆
もちろん、RPCが使いそうなポート番号をブロック、という手もあるが、RPCって止めにくいんだよね。ポート番号の範囲が広いからどうしても副作用が出がちだし。パッチが出るまではRPC無効で運用が吉ではないかと。
ちと追記。
RPCのインターフェースの切り替えをRpcProtcolの値で変更できるんだけど、値を4にした場合はLPCのみ、つまりローカルのプロシジャコールは動くけど、リモートプロシジャコールには反応しなくなる、ということらしい。0にするとどんな要求も無視してしまうので、ローカル経由、リモート経由を問わず管理は不可能ということになる。ちなみに値が1の場合はTCP/IP経由、値が2の時は名前つきパイプ経由、それぞれを受け付けるようだ。多分ビット単位でフラグになっているんだろうな、と推測。
なので、値が4の場合はローカルのRPC(これも考えてみれば変な記述だけど)要求は受け付けるので、ローカル経由でのメンテナンスにはなんら問題を受けないんじゃないかと思われる。もし値を0にした場合にはまったくメンテナンスできないんじゃないかしら。予想だけれど。
…てことは値を1にしちゃうと、リモート経由からのみメンテナンス可能、ってことなんだろうか。やってみる勇気はもちろんないんだけれど。第一どこにそんな環境があるというのだ>おれ
さらに追記。
んー、アドバイザリの主語が良くわからんなぁ。
あまりによくわからんので、まるっと引用することにする>ぉぃ
レジストリキーに 4 を指定した場合は、RPCまたはWMIが無効になるため、DNS Serverをリモートから管理、設定することが出来なくなります。 DNS の管理ツールはリモートで実行されなくなります。 ターミナルサービスによるローカルでの管理およびリモートの管理は、みなさんの DNS サーバーの構成の管理に継続して使用できます。レジストリキーに 0 を指定した場合は、ローカルからの管理・構成を含めて DNS RPC すべての管理機能が無効になります。
DNS 管理の MMC スナップ イン、DNSCMD.exe および DNS WMI プロバイダも使用可能です。
レジストリキーに 0 を指定した場合は、ローカルからの管理・構成をふくめて DNS RPC すべての管理機能が無効になります。
管理しているサーバーが 15 文字以上のコンピュータ名を持ち、そのコンピュータ名を使用して判別する場合、DNS サーバーのローカルからの管理・構成は機能しなくなります。これを避けるために、DNS 管理ツールで管理するコンピュータの、完全修飾ドメイン名 (FQDN) を使用します。
ということなので、リモートの場合は値を4にしてターミナルサービス経由でメンテナンスするのがベターといっているような気がする。ローカルでメンテナンスできる場合は値が4なら影響を受けないと読めるなぁ。でも、なにかがおかしい。
大体、
これはいったいどの条件の場合を指しているんだ?
……頭にきたのであきらめて英語を読むことにした。知恵熱でたらどうしてくれる。
Local management and remote management through terminal services can be still used to manage your DNS Server configuration.
なので、ローカルでの管理とターミナルサービス経由のリモート管理は大丈夫のようだ>値が4の場合。
やっぱり英訳変だし。
どうしてこの英文が、
ターミナルサービスによるローカルでの管理およびリモートの管理は、みなさんの DNS サーバーの構成の管理に継続して使用できます。
こういう日本語になるんだ?「Local management」と「remote management through terminal services」は〜、と普通訳すだろ。
