[connect24h:9968] Re: bind 8 について

[KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>]

題名: [connect24h:9965] bind 8 について
(<7CC5DDE1A54DAEnaoyaw@xxxxxxxxxxxxxxx>) において
Naoya Wakasugi さんがおっしゃるには:
| 
| http://internet.watch.impress.co.jp/cda/news/2005/10/26/9625.html
 
  元ねたを見ると、

---- from http://dns.measurement-factory.com/surveys/sum1.html
> * 57% run the most recent, secure versions of BIND (9.x):
>
>   BIND 9.3, 9.2, 9.1  57%
>   BIND 8.3, 8.2, 8.1  20%
>   Windows 2000        6.5%
>   Windows 2003        3.5%
>   Other               13%
 
  うーん……。bind 9.1 を "most recent, secure versions of BIND"
  と言って笑って許していいんだろうか。なにか違うような気がします。
 
| 『多くの脆弱性が指摘されている前バージョンの「BIND 8」』という記述があ
| ります。

  元ねたにはそうは書かれていないので、紹介者 (三柳英樹氏) がそのよ
  うに判断したということですかねえ。

| しかし、bind 8 の最新版（現在 8.4.6）に脆弱性があるという話は聞いたこ
| とがありません。

  しかし ISC bind ページにはこんな記述もありますから、

---- from http://www.isc.org/sw/bind/
> BIND4/BIND8
> Unsuitable for Forwarder Use
>
> If a nameserver -- any nameserver, whether BIND or otherwise --
> is configured to use ``forwarders'', then none of the the target
> forwarders can be running BIND4 or BIND8. Upgrade all
> nameservers used as ``forwarders'' to BIND9 . There is a
> current, wide scale Kashpureff-style DNS cache corruption attack
> which depends on BIND4 and BIND8 as ``forwarders'' targets.   

  そういう観点で bind 8 は脆弱だとする考え方はあると思います。
  関連: Handler's Diary April 7th 2005 (SANS ISC)

http://isc.sans.org/diary.php?date=2005-04-07

----
// 毎月第 2 火曜日 (米国時間) は Windows Update の日
// http://windowsupdate.microsoft.com

小島 肇 - KOJIMA Hajime
[Office] kjm@xxxxxxxxxxxxxxxxxx, http://www.st.ryukoku.ac.jp/~kjm/

--[PR]------------------------------------------------------------------
　　　　　　　　　無料！インズウェブの自動車保険一括見積もりで
　　　　　　　　　　素敵なプレゼントが当たるＷチャンス！
　　　　マックカード１０００円分全員プレゼント♪キャンペーン開催中！！
　　　　　　　　　　　　　▽▼▽▼▽▼▽▼▽▼▽▼
　　　　　　　　　https://ssl.fukubiki.com/insweb2/
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp