Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

IPv6 実装における Forward Information Base のアップデートに関する問題

掲載番号:NV08-011
脆弱性情報識別番号:VU#472363

概要

IPv6網は、ルータやその他のリンク上の IPv6 ノードの検知と位置決めのために、Neighbor Discovery Protocol (NDP)を使用しています。
NDPの実装には、細工されたパケットを適切に処理できず、攻撃者によって通信を盗聴されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。

対象製品

UNIVERGE IP8800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

以下の製品が影響を受けます。
  • IP8800/R400(対象ソフトウェア製品略称:OS-R, OS-RE, OS-RME)
  • IP8800/S400(対象ソフトウェア製品略称:OS-SW, OS-SWE)
  • IP8800/S300(対象ソフトウェア製品略称:OS-SW, OS-SWE)
  • IP8800/S6300(対象ソフトウェア製品略称:OS-S, OS-SE)
  • IP8800/S6700(対象ソフトウェア製品略称:OS-S, OS-SE)
  • IP8800/S3600(対象ソフトウェア製品略称:OS-L3L, OS-L3A)

以下の製品は影響を受けません。
  • IP8800/S2400
  • IP8800/SS1230

対処方法

[対策]
現在、対応策の検討を行っております。対応策が決まり次第、順次展開いたします。

[回避策]
インタフェースに設定されたIPv6アドレスのプレフィックス以外の発信元アドレスを持つNSメッセージをフィルタで廃棄することで回避可能です。
但し、IP8800/S3600シリーズ製品に関しては、NSメッセージを指定したフィルタ廃棄ができないので、発信元IPv6アドレスのプレフィックスを指定して、本来受信するインタフェースのみから受信するように設定することにより安全性を高めることができます。
なお、IP8800/S6300およびIP8800/S6700シリーズ製品においてはuRPF(Unicast Reverse Path Forwarding)機能により簡易に同種の設定が可能です。

参考情報

Japan Vulnerability Notes JVNVU#472363:
IPv6 実装における Forward Information Base のアップデートに関する問題

CERT/CC Vulnerability Note VU#472363:
IPv6 implementations insecurely update Forward Information Base

CVE-2013-5211, CVE-2008-2476:

更新情報

2008/10/16
UNIVERGE IP8800シリーズを登録しました。