ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. ネットワーク機器
  4. 通信事業者向け製品
  5. UNIVERGE IP8800シリーズ
  6. 技術情報
  7. 「NTPの脆弱性」に関するご報告
ここから本文です。

「NTPの脆弱性」に関するご報告

-技術情報

第3版: 2014/04/08
第2版: 2014/01/27
第1版: 2014/01/20

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

1. 本件の対象となる製品

NTPが設定されている下記製品が対象です。NTP機能を使用していない場合には、対象外になります。
・IP8800/S6700,S6600,S6300
・IP8800/S3800,S3650,S3640,S3640 ER,S3630,S2400
・IP8800/S400,S300,R400

2. 出典

US-CERT Vulnerability Note VU#348126
Date: January 10, 2014
Topic: NTP can be abused to amplify denial-of-service attack traffic
http://www.kb.cert.org/vuls/id/348126/
 JP-CERT
http://jvn.jp/cert/JVNVU96176042/

3. 概要

NTP機能において、特定のNTP制御パケットを受信することに起因してサービス妨害が引き起こされる可能性があります。

4. 影響

ネットワークトラフィックが増大し、CPU負荷が上昇します。

5. 回避方法

IP8800/S6700,S6600,S6300

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。また、uRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

IP8800/S3800,S3650,S3640,S3640 ER, S3630,S2400
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

IP8800/S400,S300,R400
コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。

6. 対策

本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。

No. 装置シリーズ名 対象ソフトウェア
製品略称
対策バージョン 対策版リリース日
1 IP8800/S6700 OS-SE Ver.11.9.G 以降 リリース済
2 IP8800/S6600 OS-SE Ver.11.9.G 以降 リリース済
3 IP8800/S6300 OS-SE Ver.11.9.G 以降 リリース済
4 IP8800/S3800 OS-L3SA, OS-L3SL Ver.11.12 以降 リリース済
5 IP8800/S3650 OS-L3SA, OS-L3SL Ver.11.12 以降 リリース済
6 IP8800/S3640 OS-L3A, OS-L3L Ver.11.12 以降 リリース済
7 IP8800/S3640 ER OS-L3A, OS-L3L Ver.11.12 以降 リリース済
8 IP8800/S2500 本脆弱性には該当しません - -
9 IP8800/S2400 OS-L2 Ver.11.7.G 以降 リリース済
10 IP8800/S2200 本脆弱性には該当しません - -
11 IP8800/SS1250 本脆弱性には該当しません - -
12 IP8800/SS1240 本脆弱性には該当しません - -
13 IP8800/S3630 OS-L3A, OS-L3L Ver.11.11.B 以降 リリース済
14 IP8800/S400 OS-SW, OS-SWE Ver.10-10-/R以降 リリース済
15 IP8800/S300 OS-SW, OS-SWE Ver.10-10-/R以降 リリース済
16 IP8800/SS1230 本脆弱性には該当しません - -
17 IP8800/R400 OS-R, OS-RE Ver.10-10-/R以降 リリース済

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

7. ソフトウェアの入手方法

ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

ページの先頭へ戻る