カテゴリー
Vulnerability

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について。

投稿アップデート情報  追記  追記2(4/16)  追記3(4/16)  追記4(4/19)

 JPRS 様のおっしゃるところによれば,「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNS サーバーの設定再確認について」なんだそうで,ございまする。

 DNS サーバーの設定についてのナンチャラカンチャラは,去年もイッパイあったが,先日の CVE-2014-0160 と手に手を取って,パーティやるっち,考えるだに恐ろしい。

 Web-based DNS Randomness Test てのがあるみたいなんだが。何の脈絡もなく,フッと,そのサーバ www.dns-oarc.net を Heartbleed test でチェックしてみたんよ。ほしたら, VULNERABLE かつ Please take immediate action! になったよぉ。えーーーっ。

 この世は,どうなっとんじゃ。

追記:
 テスト結果が 100% 正しいと言えないのは,百も承知だが, heartbleed test でのテストでも, www.dns-oarc.net は Server is vulnerable to all attacks tested, please upgrade software ASAP. という結果になった。どうすんのー?

追記2(4/16):
 www.dns-oarc.net で, DNS Randomness チェックするときにさ,何にも入力するわけではない。だから,個人情報なんかを抜かれるとは思わないが,しかし,これだけ HeartBleed Bug について大騒ぎしてるのに,こういうたぐいのサイトのアドミンが今まで対処していないことに,ガックリ来て,信頼できなくなっちまうわけよ。カミンスキー祭りなんかあって,みーんなが www.dns-oarc.net でチェックしたりすると,このサイトの脆弱性が巡り巡ってどこに影響するかわからないのが,ネットの世界だからなぁ。
 このガックリは,先のスラドのリンク先で見た,「なぜ Theo de Raadt は IETF に激怒しているのか」の Theo de RaadtIETF への怒りにも通じるところがあるような気がする。
 こーんだけ, HeartBleed Bug で大騒ぎしている最中に,警告を出した JPRS がその警告ページに www.dns-oarc.net へのリンクを貼るなら,直接関係はないにしても, HeartBleed Bug の対応が済んでるかくらい,チェックしてから貼んなよということだ。

 しかし,この件はどこにコンタクトをとったらいいんだろう。 admin at dns-oarc.net にメールしてみるかな。

追記3(4/16):
 「強烈なDNSキャッシュポイズニング手法が公開される」。
 「もうなんか,ついていけない」って,素人のつぶやき。上記のページやその中のリンクを見に行くと,どうすりゃいいんだという気になる。難しすぎてよくわからないところも多いが,一般の人も多大な影響を受けるということはよくわかる(出るのは溜息ばかり)。

追記4(4/19):
 上の追記2についてだが,今日,

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

という返事をもらった。私が送ったテスト結果は,「メインのサーバに関してのものだが, DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということなんだけどさ。だから, DNS Randomness test については,それなりに大丈夫ということになるのかな。

カテゴリー
WordPress

引き続きまして,WordPress 3.8.3。

The same article in English
投稿アップデート情報  追記  追記2(6/22)

 えーっと,先日,くりくりさんへのコメントで,「マイナーアップデートは自動に任せていい」と書いたばかりなのだが,今回みたいに,ローカライズ関係のファイルが入ってるのに,自動でアップデートされるとまずいかもしれない。

 今回のアップデートファイルには,

wp-admin/includes/upgrade.php
wp-admin/includes/post.php
wp-admin/about.php
wp-includes/version.php
readme.html

と, version.php が入っているが,実は, version.php には, $wp_local_package がある。自動アップデートで,ここがなくなると,不具合が起こる可能性もある。日本語版が出る前に自動アップデートされてしまった場合は, version.php を開けて最終行に
     $wp_local_package = ‘ja’;
を追記してやろう。

 ところで, Oiram回避策を使っているにもかかわらず,今回また,
Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it.
が出ている。ただ,エラーメッセージは前と違い, Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure なんだが,どうしたら直るのか,まだわからない。でもって,今回もエラーは一つのサイトについてだけなんだ。そのサイトは,前と同じ。なんでなんだろう?

追記:
 うーん,「朝起きたら,WordPress 3.8.2 だった。」で書いていることと,矛盾してるな(苦)。 3.8.2 の version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。

追記2(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。