DNS脆弱性の修正パッチ、複数ベンダーから同時リリース

　セキュリティ研究者が、Domain Name System（DNS）に存在する重大な脆弱性を明らかにしていた。DNSはインターネット上で使用されるホスト名とIPアドレスを対応させるためのシステム。

　IO Activeの侵入テストサービス担当ディレクターであるDan Kaminsky氏は、2008年に入ってからこの脆弱性を発見した。Kaminsky氏は、一部の研究者のように脆弱性の情報を売るのではなく、まず影響を受ける企業や団体を集めて、その脆弱性について議論することにした。

　Kaminsky氏は、詳細が明らかになってしまうとの理由で同脆弱性の名前は伏せた。

　Kaminsky氏は、16人の研究者が3月31日にMicrosoftに集まり、彼らが現在の状況を把握しているか否か、どのような修正であれば世界中のなるべく多くの人々に影響を与えられるか、そしてこの修正をいつ発表するかを確認したと語った。

　Kaminsky氏によると、研究者らは、この脆弱性の修正に向け、複数ベンダーによるパッチの同時リリースの実施を決め、Microsoftはその一環として、7月のPatch Tuesday（パッチ火曜日）である8日に「MS08-037」をリリースしたという。Cisco Systems、Sun Microsystems、BINDも8日中にパッチをリリースすると見られる。

　この合同パッチリリースには多様なベンダーが参加する。United States Computer Emergency Readiness Team（US-CERT）のArt Manion氏によると、DNSサーバを所有するベンダーに連絡がなされたが、DNSクライアントを所有するベンダーが記載されたさらに長いリストが存在するという。そのリストには、AT&T、Akamai、Juniper Networks、Netgear、Nortel、ZyXELなどの企業名が並んでいる。これらすべてのDNSクライアントベンダーがパッチやアップデートのリリースを発表したわけではない。またManion氏によると、CERTを設置しているすべての国にこの脆弱性に関する情報が通知されたという。

　またこの問題は、ホームユーザーが利用しているインターネットサービスプロバイダー（ISP）にも影響がある。ISPは、数日以内に自社システムにパッチを適用すると見られる。なお、ホームユーザーが利用するハードウェアルーターは影響を受けない。

　Kaminsky氏は、8月7日〜8日の2日間、ラスベガスで開催されるBlack Hat 2008までに詳細を発表するとしている。しかし、Microsoftはセキュリティ情報の中で、同社のパッチは、非常にランダムなDNSトランザクションIDとUDP（User Datagram Protocol）クエリ用ランダムソケットを使用しており、さらにDNSキャッシュを管理するために使用されるロジックを更新していると述べている。

　Kaminsky氏は、8日にリリースされたパッチにより、DNSのランダム性が増すことを認めている。「従来は16ビットだったが、いまでは32ビットである」（Kaminsky氏）

　Kaminsky氏はDNSチェッカーを提供しており、このチェッカーでシステムの脆弱性の有無を確認できる。