ページの先頭です。
サイト内の現在位置を表示しています。
ここから本文です。

NTPの脆弱性(VU#718152、VU#321640)」に関するご報告について

-技術情報

第3版: 2017/04/17
第2版: 2016/12/12
第1版: 2016/10/31

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

1. 出典

US-CERT Vulnerability Note VU# 718152
Topic: NTP.org ntpd contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/718152/

US-CERT Vulnerability Note VU#321640
Topic: NTP.org ntpd is vulnerable to denial of service and other vulnerabilities
http://www.kb.cert.org/vuls/id/321640/

JP-CERT
http://jvn.jp/vu/JVNVU91176422/
http://jvn.jp/vu/JVNVU94410990/

2. 概要

NTP機能において、複数の脆弱性(VU#718152およびVU#321640)が報告されました。
本報告には、以下の脆弱性が含まれています。

■VU#718152
CVE-2015-7973: Authentication Bypass by Capture-replay
CVE-2015-7974: Improper Input Validation
CVE-2015-7975: Improper Input Validation
CVE-2015-7976: Improper Input Validation
CVE-2015-7977: NULL Pointer Dereference
CVE-2015-7978: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2015-7979: Incorrect Synchronization
CVE-2015-8138: Improper Input Validation
CVE-2015-8139: Information Exposure
CVE-2015-8140: Authentication Bypass by Capture-replay
CVE-2015-8158: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2016-1547: Incorrect Synchronization
CVE-2016-1548: Authentication Bypass by Spoofing
CVE-2016-1549: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
CVE-2016-1550: Improper Input Validation
CVE-2016-1551: Authentication Bypass by Spoofing
CVE-2016-2516, CVE-2016-2517: Improper Input Validation
CVE-2016-2518: Out-of-bounds Read
CVE-2016-2519: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2015-7704, CVE-2015-7705: Improper Input Validation

■VU#321640
CVE-2016-4957: CRYPTO-NAK denial of service introduced in Sec 3007 patch.
CVE-2016-4953: Bad authentication demobilizes ephemeral associations.
CVE-2016-4954: Processing of spoofed server packets affects peer variables.
CVE-2016-4955: Autokey associations may be reset when repeatedly receiving spoofed packets.
CVE-2016-4956: Broadcast associations are not covered in Sec 2978 patch.

3. 影響

報告された脆弱性の内、次の項目で製品が影響を受ける可能性があります。
『VU#718152』で報告されているCVE-2015-7973,CVE-2015-7979, CVE-2016-1550
『VU#321640』で報告されているCVE-2016-4953,CVE-2016-4954

影響による事象は、不正なパケット受信契機でピア切断等が発生することが考えられます。
それぞれの影響内容の詳細につきましては、【出典】を参照いただきますようお願いします。

各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の"-"は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

No. 装置シリーズ名 影響を受けるバージョン
1 IP8800/S8600 Ver 12.6.A以前
2 IP8800/S8300 Ver 12.6.A以前
3 IP8800/S400 全 Ver
4 IP8800/S6700 全 Ver
5 IP8800/S6600 全 Ver
6 IP8800/S6300 全 Ver
7 IP8800/S300 全 Ver
8 IP8800/S4600 全 Ver
9 IP8800/S3800 Ver 11.14.E以前
10 IP8800/S3600 Ver 11.14.E以前
11 IP8800/S2500 -
12 IP8800/S2400 全 Ver
13 IP8800/S2200 -
14 IP8800/SS1200 -
15 IP8800/A260 -
16 IP8800/R8600 Ver 12.6.A以前
17 IP8800/R400 全 Ver
本件、伊藤さんからの依頼([kpro:18820])で記入しました。

4. 回避方法

次の方法で、影響を受ける可能性を低減できます。
<IP8800/S400><IP8800/S300><IP8800R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

<IP8800/S8600><IP8800/S8300><IP8800/S6700><IP8800/S6600><IP8800/S6300><IP88000/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできませ次の方法で、影響を受ける可能性を低減できます。
次の方法で、影響を受ける可能性を低減できます。

<IP8800/S400><IP8800/S300><IP8800/R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

<IP8800/S8600><IP8800/S8300><IP8800/S6700><IP8800/S6600><IP8800/S6300><IP8800/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

5. 対策

本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。

No 装置シリーズ名 対象ソフトウェア製品略称 対策バージョン 対策版リリース日
1 IP8800/S8600 OS-SE Ver 12.6.C リリース済
2 IP8800/S8300 OS-SE Ver 12.6.C リリース済
3 IP8800/S400 OS-SW,OS-SWE 無し -
4 IP8800/S6700 OS-SE Ver.11.9.Q リリース済
5 IP8800/S6600 OS-SE Ver.11.9.Q リリース済
6 IP8800/S6300 OS-SE Ver.11.9.Q リリース済
7 IP8800/S300 OS-SW,OS-SWE 無し -
8 IP8800/S4600 OS-L3CA,OS-L3CL Ver.11.14.A リリース済
9 IP8800/S3800 OS-L3SA,OS-L3SL Ver 11.14.F リリース済
10 IP8800/S3600 OS-L3SA,OS-L3SL,OS-L3A,OS-L3L Ver 11.14.F リリース済*1
11 IP8800/S2500 本脆弱性には該当しません - -
12 IP8800/S2400 OS-L2 無し -
13 IP8800/S2200 本脆弱性には該当しません - -
14 IP8800/SS1200 本脆弱性には該当しません - -
15 IP8800/A260 本脆弱性には該当しません - -
16 IP8800/R8600 OS-RE Ver 12.6.C リリース済
17 IP8800/R400 OS-R,OS-RE 無し -
*1 IP8800/S3630においては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします

6. ソフトウェアの入手方法

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。

ページの先頭へ戻る