cafe24 고객센터

  • 자주묻는질문 FAQ
  • 매뉴얼
  • 문의게시판
  • ARS안내
  • 공지사항
  • 회원정보관리

  • 카페24 AI 챗봇

카페24 고객센터

고객센터 - 1588-3284

 >  고객센터  >  공지사항

공지사항 - 카페24의 새로운 소식과 서비스 이용에 관련된 정보를 제공합니다.

보안/패치 안내

DNS 캐시 포이즈닝 다중 취약점 보안업데이트 권고

보안/패치 안내  |  2008-08-06
 
윈도우즈 dns를 사용하시는 고객님은 해당 취약점에 대한 패치가 7월 보안업데이트에 포함되어 있으므로 7월 보안업데이트를 진행하신 고객님은 해당 사항이 없지만 아직까지 패치를 하지 않으셨다면 되도록 빠른 시일 내에 업데이트를 진행하시기 바라며, bind를 사용하시는 고객님은 각 OS에 맞는 패키지 또는 소스로 업데이트를 하거나 recursive 기능을 제한하시기 바랍니다.

□ 개요
o DNS 캐시 포이즈닝이 가능한 신규 취약점들이 발견되어 DNS 관리자의 주의를 요함[1]
o 본 취약점은 DNS에서 DNS transaction ID와 source port number를 부여할 때,
예상하기 쉬운 임의의 값을 생성하기 때문에 발생함
※ 해당 신규 취약점들은 기존 알려진 내용을 기반으로 효율적인 공격이 가능하도록 함

□ 해당시스템
o 캐시/리졸빙 서버로 이용되는 각종 DNS 서버 시스템
Cisco Systems, Inc.
Debian GNU/Linux
Infoblox
Internet Software Consortium
Juniper Networks, Inc.
Microsoft Corporation
Nominum
Red Hat, Inc.
Sun Microsystems, Inc.
Wind River Systems, Inc. 등

□ 영향
o 공격자는 해당 취약점을 이용하여 DNS 쿼리 정보를 변경할 수 있음
- 공격 성공 시, DNS 쿼리 데이터 변경, 삭제 등의 작업 가능
(피싱, 악성코드 유포등에 악용될 수 있음)

□ 해결 방안
o 캐시/리졸빙 DNS 서버로 사용되는 시스템을 운영 중이라면, 해당 보안 취약점에 대비하고,
시스템 성능 향상을 위하여 각 벤더사의 DNS 최신 버젼으로 업그레이드를 권고[2][3]

o 패치가 어려울 경우, 신뢰할 수 있는 호스트에 대해서만 recursive query에 대한 응답이
가능하도록 설정할 것을 권고

o Recursion 기능이 필요하지 않을 경우, Disable(비활성화)시킬 것을 권고

o 보안 장비(방화벽, 침입탐지시스템, 침입방지시스템 등), 네트워크 장비 등에서
DNS 서비스를 사용 중이라면, 비활성화(disable) 시킬 것을 권고
- 특히 BIND는 방화벽과 라우터에서 DNS 서비스로 자주 사용되기 때문에,
만일 필요로 하지 않는 서비스라면, 비활성화 시킬 것을 권고

□ 참조 사이트
[1] http://www.kb.cert.org/vuls/id/800113
[2] http://www.isc.org/index.pl?/sw/bind
[3] http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
[4] http://www.securityfocus.com/brief/779

[참고]
1. F.A.Q

o 캐시/리졸빙 DNS에서만 영향을 받나요?
- 네, 해당 취약점은 캐시/리졸빙을 하지 않는 DNS에는 영향을 주지 않습니다.

o 캐시 포이즈닝이란 무엇입니까?
- DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보가 위,변조되는 것을 말합니다.

o 어떻게 취약한지 확인할 수 있나요?
- 다음 명령 실행 결과 아래와 같은 응답을 받는다면, 취약하다고 볼 수 있습니다.

1) 취약점 확인 방법 : 점검하고자 하는 도메인이 “aaa.bbb.ccc.ddd“인 경우
$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT

가. 취약점 존재 DNS 확인 결과 :
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.
ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"

나. 정상 DNS 확인 결과 :
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD
is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"

o 보안업데이트할 경우 다른 고려사항은 없나요?
- 2008.7.25 현재 ISC BIND 계열 보안패치에서 성능저하 문제가 제기되고 있으니 BIND 계열
보안패치를 적용하실 때는 이점을 고려하시기 바랍니다.
※참고사이트 : http://www.isc.org/index.pl?/sw/bind/bind-security.php

목록