[systemd][dns] “Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP”が出力されていたので確認してみた。

2019-03-18 10:10:03Security, UbuntuDNS, DNSSEC, DVE, NXDOMAIN, systemd-resolved, ubuntu

pat-krupa-1186996-unsplash.jpg

ちょいと手元のUbuntu bionicをインストールしていたPCのsyslogを確認していたところ、以下のようなメッセージが出力されていました。

Mar 17 18:04:47 xxxxx systemd-resolved[26858]: Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.

なんじゃらほいと思ったので確認してみました。

どうやら以下のものがそれみたいです。



From packet capture it appears that DNS query with EDNS0 DO (DNSSEC OK) bit set to zero, is responded to with NXDOMAIN.

ということで、systemd-resolvedが正しく名前解決できないバグなんですね・・・
どうやらsystemd側では修正が終わっているようですが、ubuntuのlaunchpadでは現在進行形で修正中のようで、ちょこちょこWebでも質問している人が見つかる模様。

今のところは、一旦、systemd-resolvdを止めて、以前のようにresolv.confにべた書きするか、以下のようにresolvconfなどを使用のがいいみたいですね。

$ sudo rm /etc/resolv.conf
$ sudo ln -s /run/resolvconf/resolv.conf /etc/resolv.conf
$ systemctl restart resolvconf

まあ普通にべた書きでも良いと思います。

ESET インターネット セキュリティ(最新)|5台3年版|カード版|Win/Mac/Android対応
キヤノンITソリューションズ (2019-02-14)
売り上げランキング: 2

2019-03-18 10:10:03Security, UbuntuDNS, DNSSEC, DVE, NXDOMAIN, systemd-resolved, ubuntu