English

◀◁ 뒤로 취약점ID 19001 위험도 30 포트 53 프로토콜 TCP,UDP 분류 DNS 상세설명 해당 네임 서버는 DNS zone transfer를 제한없이 허용하고 있다. DNS Zone Tranfer에는 DNS 서버에 등록된 모든 컴퓨터를 식별할 수 있는 리스트를 포함하고 있다. 이 정보는 Attacker가 공격에 앞서 네트워크의 구성과 새로운 목표를 정하는데 있어 매우 유용한 정보가 되어준다. 마이크로소프트 DNS 서버는 디폴트로 어떤 호스트로 부터 생성된 zone transfer 요청을 허용할 수 있다. * 참고 사이트: http://www.iss.net/security_center/static/3678.php http://www.iss.net/security_center/static/212.php http://www.acmebw.com/resources/papers/securing.pdf * 영향을 받는 플랫폼: DNS Any version 해결책 반드시 필요한 서버들만 DNS zone transfer를 허용하도록 해당 DNS 서버의 설정을 조정해야 한다. 1. Windows 시스템들 마이크로소프트 DNS서버에 Primary DNS zone을 생성할 때 디폴트 zone transfer 옵션은 "allowed to any server"로 셋되어 있다. 그 디폴트 세팅은 인가되지 않은 시스템들에게 DNS zone 정보의 노출이 노출되지 않도록 반드시 수정되어져야 한다. 마이크로소프트 dnsmgmt.msc 관리 콘솔 툴을 이용하면 DNS 서버가 zone transfer 요청들을 받아줄 호스트들의 리스트를 명기할 수 있다. 2. UNIX 시스템들 1) BIND 8에서는, 'allow-transfer' 문장을 사용 options { allow-transfer { x.x.x.x }; }; 혹은, Zone을 명기: zone "secui.com" { type master; file "db.secui.com"; allow-transfer { x.x.x.x }; }; 2) BIND 4.9에서는 'xfrnets' 문장을 사용 xfrnets 210.168.119.178&255.255.255.255 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)