MoinQ:

DNS/サービス/dozens/脆弱性について、ここに記述してください。

1. 前置き

blog.dozens.jp にはいろいろ疑問がある。 DNS/サービス/dozens

問題点を指摘したと思われるひとに尋ねてみた。


isidaiさんが指摘を始めたのが、2011年10月10日

前野の疑問

(1)Dozensの脆弱性指摘はいつだったか。当時(いまも?)Dozensはサブドメインをサポートしていなかったのではないか。(2)Dozensだけの問題だったのか。さくらに関係をお持ちのようですが、なぜさくらには通告しなかったのか。

に対する返答をいただきました。

(1) 10月10日 (tweet は省略、通知メールは非公開)
私見ですが、
Dozensはひとつのゾーン内でサブドメインレコードを作ることはできますが、
サブドメインを委譲したり、委任されたドメインはそのチェックをしていないためにサポート《できない》と考えています。
当時も今もサブドメインはサポートしていませんが、
当時は登録を受け付けるチェック漏れのために登録できてしまっていたという状況です。

サブドメインが作れないという非公開仕様に欠陥があった、 指摘されて直した。直したことも黙っていた。 さくらの脆弱性が徳丸氏によって公表されたら、自分のところは脆弱性はないと書いた。 なにが脆弱なのか分かっていない。自覚もない。ここだけじゃない。

2. さくら関係

なぜさくらには知らせなかったか。

(2)これはDNSコンテンツサーバーソフトウェア
のもつ問題とWebから受け付ける手順の問題が重なっているため、同様のサービス全般に懸念される問題だと認識しています。

(3)さくらには前野先生が指摘されている件を2度伝えていて、

これも私見ですが、その時に担当者がアサインされ修正されているはずですが、
問題を正確に把握できなかったため、修正箇所が間違われエンバグしたりしたのではないかと思っています。

また、徳丸さんは田中さんにツイートしましたが、田中さんが気づいていない様子でしたので、徳丸さんから伝言を預かり田中さんに直接お伝えしました。

(前野)徳丸さんは田中さんにDMもしくはメールを送ったのではないだろうか。

(徳丸)田中社長には直接連絡がつきましたが、タイムラグがあったので、それまでisidaiさんが中継してくださったということです。

{徳丸さんの理解は正しくないとのこと(田中さんに確認), isidaiさんはさくらの社員ではなく、部外者}


「Dozensに通告した時点で、さくらには問題はないと考え、行動しなかった」ということでいいでしょうか。(前野)

Dozens通告の時点では、
他社やさくらに同様の脆弱性があるかは調べませんでしたし、
さくらの脆弱性にも認識していませんでした。

また、その頃は失礼ながら前野先生の存在を知りませんでした。
そのため2011年10月頃は、さくらには脆弱性の指摘は行なっておりません。

前野の最初の連絡( 4/11ころ)からご存知だったのですね。 それとDozens問題とが関連していることはすぐに分からなかったということですか。

私は完全にさくらの社内の人間というわけではないため、
お客様から頂いた連絡やサポートを閲覧する権限がありません。
そのため、Twitter上で前野先生がさくらDNSについてツイートされた頃に、
何かあるとは思っていましたが、サブドメインハイジャックと認識(続く)

認識することはすぐにはできず、
2011年12月頃にNSレコードの追加ができないので
移転時に問題が発生するということをさくら社内には報告していましたが、
ドメインハイジャックのことだと気づいたのは4月の終わり頃かと記憶しています。