Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX1000/IX2000/IX3000シリーズOSPF脆弱性問題(VU#229804)に関する御報告(第2版)
はじめに
OSPF プロトコルで規定されている LSA には、LS Type、Advertising Router および Link State ID が含まれています。OSPF の規定では、router-LSA の Link State ID と Advertising Router には同一の値が設定されることになっています。この二つの値が異なる、細工された router-LSA を受信することでルーティングテーブルの内容が改ざんされる可能性があります。
というレポートが発表されました。
JVNVU#96465452
Open shortest Path First (OSPF) プロトコルの Link State Advertisement (LSA) に関する問題
https://jvn.jp/cert/JVNVU96465452/index.html
US-CERT Vulnerability Note VU#229804
Open Shortest Path First (OSPF) Protocol does not specify unique LSA lookup identifers
https://www.kb.cert.org/vuls/id/229804
製品カテゴリ
対象装置: |
IX1010,IX1011,IX1020,IX1050,IX2003,IX2004,IX2005, IX2105,IX2010,IX2015,IX2025,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
---|---|
対象ソフトウェア: |
ソフトウェアバージョンVer.3.0.10からVer.8.9.17Bまでの全バージョン |
OSPF脆弱性問題(VU#229804)の予測される影響
影響を受ける条件
以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンがVer.3.0.10からVer.8.9.17Bの範囲に該当。
- OSPF機能を使用している。
機種名 |
ver.3.0.10~ver.8.9.17B |
ver.8.9.19以降、 |
---|---|---|
IX1010、IX1011、IX1020、IX1050、 IX2003、IX2004、IX2010、IX2015 |
影響を受けます |
リリース対象外 |
IX2005、IX2105、IX2025、IX2215、 IX3010、IX3110 ゼロコンフィグモデルを含む |
影響を受けます |
影響を受けません。 |
OSPF使用時の影響
悪意を持ったルータから不正なLSAを受信すると、経路情報が書き換えられる可能性があります。経路情報が書き換わると、ユーザパケットが正しい宛先に転送されない可能性があります。
対策
修正ソフトウェアへのバージョンアップ
IX1000シリーズ/IX2003/IX2004/IX2010/IX2015においては、対策版のリリースはございません。下記の回避策によって対策をお願いいたします。
回避策
- OSPF認証を設定することで、悪意のあるネイバからの不正なLSAを受信しないように回避してください。
設定例
- ip router ospf 10
- area 0
- network GigaEthernet0.0 area 0
- interface GigaEthernet0.0
- ip address 192.168.0.105/24
- ip ospf authentication message-digest
- ip ospf authentication-key [パスワード]
- no shutdown
補足
本装置の工場出荷時の設定では OSPF 機能は無効化されているため、現在の運用コンフィグに OSPF を有効化する設定が含まれていなければ、本脆弱性の影響を受けることはありません。
改版履歴
2013年8月2日 初版発行
2013年9月4日 第2版発行
資料請求・お問い合わせ