ルートゾーンに.jpゾーンのDSレコードが登録・公開されました

By dnssecjp, on 12月 13th, 2010

2010/12/10 13時30分ごろ(日本時間)、ルートゾーンに.jpゾーンのDSレコードが登録・公開されました。

これに伴い、JPRSからアナウンスが出ています。

(新規公開) ルートゾーンへの.jpゾーンのDSレコード登録・公開に伴う影響について <http://jprs.jp/info/notice/20101210-ds-published.html>

(更新) JPドメイン名サービスへのDNSSECの導入予定について <http://jprs.jp/info/notice/20090709-dnssec.html>

> dig jp ds @m.root-servers.net +short +norec 1369 8 2 1F3F4A66E954C27FB16DF88CA5EA0E88CA9384690BBCE3A6B7F54E9E 6BCA169B 1369 8 1 59E20603E1BBA03E0A42FF5648A517FD238AE6D9

ということで、12/10現在二つのDSレコードを確認することができます。

二つのDSレコードは共に.jpのKSK公開鍵から生成されており、ダイジェストタイプとして一方はSHA-1、他方はSHA-256を使用しています。

これでルートから.jpへの信頼の連鎖が繋がりました。

JPドメイン名サービスへのDNSSEC導入は順調に進んでいるようです。

来年2011/1/16の導入日が待ち遠しいですね!

動向

[追記あり] 9.7.2-P2以前のBIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について – 緊急のパッチ適用を強く推奨 -

By dnssecjp, on 12月 3rd, 2010

(2010/12/15 追記) ISC が Update to CVE 2010-3613 というアナウンスを出しました。 今回の脆弱性を持つ BIND9 のバージョンを 9.0.x 以降の全てに拡大するとのことです。バージョンを確認の上、必要な対処を行うことを推奨します。 JPRS のアナウンスも更新されていました。ご参照ください。

ISC が BIND 9.7.2-P3, 9.6.2-P3, 9.6-ESV-R3 and 9.4-ESV-R4 are now available ということでアナウンスを出しています。

JPRS からは日本語による情報の掲載がありました。

■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した DoS攻撃について – 緊急のパッチ適用を強く推奨 – <http://jprs.jp/tech/security/bind9-vuln-ncache-and-rrsig.html>

対象は BIND 9.7.2-P2 以前のバージョン (9.6.2 – 9.6.2-P2, 9.6-ESV – 9.6-ESV-R2, 9.7.0 – 9.7.2-P2) のBINDです。

該当するキャッシュDNSサーバーにおいてDNSSECによる検証を有効にしていない場合であっても対象となります。早急に 9.7.2-P3 にアップデートすることを強く推奨します。

. . . → Read More: [追記あり] 9.7.2-P2以前のBIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について – 緊急のパッチ適用を強く推奨 -

技術情報