_ 何かヘンなもん食ったか。腹が。
_ というわけでおうちでお休み。……そういえばアパートの前の道路で工事やるって連絡来てたな。うるせーよ。うるせーだけじゃなくて振動もヒドい。無理して仕事出た方がよかったかも。
_ 今日は dnsops の BoFがあったんだよね。ひじょーに興味のある内容だったんだけど、お仕事あるし、発表資料はあとできっと見られるようにしてくれるでしょ、ということで見送り。
_ んー、DNS の query id と src port がバレるとキャッシュに毒を入れられるよ、というのはだいぶ昔から言われてた話だよね。 djbdns はそれをランダムにして毒入れを回避するのが宣伝文句のひとつだったわけだし、BIND も少し前のバージョンから問い合わせの際のポート番号をいくつかの番号からてきとーに選び、さらにそのいくつかの番号をてきとーな間隔で更新する、という方法で毒を入れにくくするという 手法で対策したし。調べてみたら powerdns と unbound もソースポートのランダム化をやっていた。今回の騒ぎで初めて知ったけど、これに関する話は internet draftにもなってる。つい最近見つかった穴というわけでもないみんな知ってることなのに、なんで今ごろになってあわてて advisory が出たり修正が出たりしてるんだろ。
_ つまり、これまで考えられていたよりもずっと簡単な方法で query id と src port を予測する方法が見つかったってことなのかね。バレたらやばいけど、これまではヘタな鉄砲数撃ちゃ当たる以外の方法はないから放置してもそれほど問題ないだろうと思われてたのに、ちゃんと狙いをつける方法が発見されちゃってのんびりしていられなくなった、ってことなのかしらん。詳細は8月に発表されるという話なので、それまでにアップデートを済ませておいて、どんなマズい穴だったのかは正座して待て、と。
また多くのパソコンを保護するには自動更新でパッチを当てなければならない。マイクロソフトは8日、ソフトウェアの更新パッケージで修正パッチを公開した。いや、リバースエンジニアリングするまでもなく詳細はわかってるわけだが……。ただ、それがわかったところで、実際にその穴を攻撃する方法が不明だから手を出せないということ。
この修正パッチはハッカーによる悪用を防ぐためリバースエンジニアリングができないようになっている。企業に更新の時間を与えるため、技術的な詳細は1か月間は明らかにされない。_ ちなみに、BIND がやっていたポート番号をいくつかからてきとーに選んでうんぬん、という対策は、これじゃ不十分ということであっさり obsolete に。ちょうど今日の dnsops BoF で、この機能の有効/無効でどれだけパフォーマンスが違うかという話があったそうな(わしゃ出てないので伝聞)。せっかく調べたのに発表直前に廃止されちゃうとはなんとも不憫な……。
_ しかしそれでも DNSSEC は普及しない、に一票。