Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

VPN対応高速アクセスルータ UNIVERGE IXシリーズ

IX1000/IX2000/IX3000シリーズOSPF脆弱性問題(VU#229804)に関する御報告(第2版)

はじめに

OSPF プロトコルで規定されている LSA には、LS Type、Advertising Router および Link State ID が含まれています。OSPF の規定では、router-LSA の Link State ID と Advertising Router には同一の値が設定されることになっています。この二つの値が異なる、細工された router-LSA を受信することでルーティングテーブルの内容が改ざんされる可能性があります。

というレポートが発表されました。

JVNVU#96465452
Open shortest Path First (OSPF) プロトコルの Link State Advertisement (LSA) に関する問題
https://jvn.jp/cert/JVNVU96465452/index.html

US-CERT Vulnerability Note VU#229804
Open Shortest Path First (OSPF) Protocol does not specify unique LSA lookup identifers
https://www.kb.cert.org/vuls/id/229804

製品カテゴリ

対象装置:

IX1010,IX1011,IX1020,IX1050,IX2003,IX2004,IX2005,
IX2105,IX2010,IX2015,IX2025,IX2215,IX3010,IX3110
(ゼロコンフィグモデルを含む)

対象ソフトウェア:

ソフトウェアバージョンVer.3.0.10からVer.8.9.17Bまでの全バージョン

OSPF脆弱性問題(VU#229804)の予測される影響

影響を受ける条件

以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。

  • 現在使用しているソフトウェアのバージョンがVer.3.0.10からVer.8.9.17Bの範囲に該当。
  • OSPF機能を使用している。

機種名

ver.3.0.10~ver.8.9.17B

ver.8.9.19以降、
ver.8.10以降

IX1010、IX1011、IX1020、IX1050、
IX2003、IX2004、IX2010、IX2015

影響を受けます

リリース対象外
(回避策をご参照ください)

IX2005、IX2105、IX2025、IX2215、
IX3010、IX3110
ゼロコンフィグモデルを含む

影響を受けます

影響を受けません。

OSPF使用時の影響

悪意を持ったルータから不正なLSAを受信すると、経路情報が書き換えられる可能性があります。経路情報が書き換わると、ユーザパケットが正しい宛先に転送されない可能性があります。

対策

修正ソフトウェアへのバージョンアップ

IX1000シリーズ/IX2003/IX2004/IX2010/IX2015においては、対策版のリリースはございません。下記の回避策によって対策をお願いいたします。

回避策

  • OSPF認証を設定することで、悪意のあるネイバからの不正なLSAを受信しないように回避してください。

設定例

  • ip router ospf 10
  • area 0
  • network GigaEthernet0.0 area 0
  •  
  • interface GigaEthernet0.0
  • ip address 192.168.0.105/24
  • ip ospf authentication message-digest
  • ip ospf authentication-key [パスワード]
  • no shutdown

補足

本装置の工場出荷時の設定では OSPF 機能は無効化されているため、現在の運用コンフィグに OSPF を有効化する設定が含まれていなければ、本脆弱性の影響を受けることはありません。

改版履歴

2013年8月2日 初版発行
2013年9月4日 第2版発行

資料請求・お問い合わせ

Escキーで閉じる 閉じる