๊ฒ์๋จ ์์ ์ ์ธ DNS ์๋ฒ ์ง์ ์ ๋ํ ์์ ์
๋ฐ์ดํธ ๋ฐ์ธ๋ 9.14.4 ๋ฐ 9.11.9, ํ์ฌ ๊ฐ๋ฐ ์ค์ธ ์คํ ๋ถ๊ธฐ 9.15.2๋ ์์ต๋๋ค. ์ ๋ฆด๋ฆฌ์ค์์๋ ๋ง์ ์์ ์์ ํจํท์ด ์ฐจ๋จ๋ ๋ ์๋น์ค ๊ฑฐ๋ถ(์ด์ค์
์ด ํธ๋ฆฌ๊ฑฐ๋ ๋ ํ๋ก์ธ์ค ์ข
๋ฃ)๋ก ์ด์ด์ง ์ ์๋ ๊ฒฝ์ ์กฐ๊ฑด ์ทจ์ฝ์ (CVE-2019-6471)์ ํด๊ฒฐํฉ๋๋ค.
๋ํ ์ ๋ฒ์ 9.14.4์๋ ํ์ฌ์ IP ์ฃผ์๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์์น ๋ฐ์ดํฐ๋ฒ ์ด์ค๋ฅผ ์ฐ๊ฒฐํ๊ธฐ ์ํ GeoIP2 API์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
MaxMind("--with-geoip2" ์ต์
์ ์ฌ์ฉํ์ฌ ๋น๋๋ฅผ ํตํด ํ์ฑํ๋จ) GeoIP2๋ ์ด์ ์ MaxMind์์ ๋ ์ด์ ์ ์ง ๊ด๋ฆฌํ์ง ์๋ ์ด์ GeoIP API์ ๋ํด ์ง์๋์๋ ์ผ๋ถ ACL(์: ๋คํธ์ํฌ ์๋, ์กฐ์ง ๋ฐ ๊ตญ๊ฐ ์ฝ๋)์ ๋ ์ด์ ์ง์ํ์ง ์์ต๋๋ค. ์์ฑ ๋ฐ ์
๋ฐ์ดํธ๋ DNSSEC ์๋ช
์์ ๋ํ ์นด์ดํฐ์ ํจ๊ป ์๋ก์ด ์ธก์ ํญ๋ชฉ์ธ dnssec-sign ๋ฐ dnssec-refresh๋ ์ถ๊ฐ๋์์ต๋๋ค.
์ถ๊ฐ์ ์ผ๋ก ์ฃผ๋ชฉํ ์ ์๋ ๊ฒ์ ๋ฌธ์ TLS์ฉ ์ธ์ฆ์/ํค ๊ตฌ์ฑ ํ์ผ์ด kdig์ ์ถ๊ฐ๋ DNS ์๋ฒ Knot 2.8.3, ์คํ๋ผ์ธ KSK ์๋ช
๋ฐ RRL ๋ชจ๋์ ๋ํ ๋ก๊ทธ ํญ๋ชฉ์ ์ ๋ณด ๋ด์ฉ์ด ์ฆ๊ฐ๋์์ผ๋ฉฐ DNSSEC ๊ตฌ์ฑ ํ์ธ์ด ํ์ฅ๋์์ต๋๋ค.
Knot Resolver 4.1.0 ์
๋ฐ์ดํธ๋ ์ถ์๋์์ต๋๋ค. ๋ ๊ฐ์ง ์ทจ์ฝ์ (CVE-2019-10190, CVE-2019-10191): ๋๋ฝ๋ ์ด๋ฆ ์ฟผ๋ฆฌ(NXDOMAIN)์ ๋ํ DNSSEC ๊ฒ์ฌ๋ฅผ ์ฐํํ๋ ๊ธฐ๋ฅ๊ณผ ํจํท ์คํธํ์ ํตํด DNSSEC ๋ณดํธ ๋๋ฉ์ธ์ ๋ณดํธ๋์ง ์๋ DNSSEC ์ํ๋ก ๋กค๋ฐฑํ๋ ๊ธฐ๋ฅ์
๋๋ค.
์ถ์ฒ : opennet.ru