ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. 企業・官公庁向け製品名一覧
  4. UNIVERGE IXシリーズ
  5. 技術情報/お知らせ
  6. IX1000/IX2000/IX3000シリーズTCP脆弱性問題(Vul 236929)に関する御報告
ここから本文です。

VPN対応高速アクセスルータ UNIVERGE IXシリーズ

IX1000/IX2000/IX3000シリーズTCP脆弱性問題(Vul 236929)に関する御報告

はじめに

2004年4月20日に英国のコンピュータ緊急事態対策チームであるNISCCより、

「この警報で述べる脆弱性は,RFC793(当初の仕様)とRFC1323(高速用TCP拡張)を含む,TCPに関するIETFのRFC群に合致したTCPの実現に影響を及ぼす。TCPは、今日のネットワークに接続されたコンピュータ・システムの大多数で利用されている中核的なネットワーク・プロトコルである。多くのベンダ各社の製品が、このプロトコルを搭載しており、ベンダごとに様々な作り込みをしている。さらに、TCPコネクションに依存したネットワーク・サービスやアプリケーションも影響を受ける。影響の度合いは、TCPセッションの持続時間が長いと深刻となる。」

というレポートが発表されました。

NISCC-236929
TCP にサービス運用妨害を伴う脆弱性
<http://jvn.jp/niscc/NISCC-236929/index.html>

TCP脆弱性問題(Vul 236929)の予測される影響

影響を受ける条件

以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。

  • 現在使用しているソフトウェアのバージョンが ver.6.1.13以前である。
  • telnet と BGPの両方、もしくはどちらか一方を使用している。

機種名/ソフトウェアバージョン Ver.6.1.13 以前 Ver.6.1.15 以降
IX1010 影響を受けます 影響を受けません
IX1020 影響を受けます 影響を受けません
IX1050 影響を受けます 影響を受けません
IX1011 影響を受けます 影響を受けません
IX2003 影響を受けます 影響を受けません
IX2010 影響を受けます 影響を受けません
IX2015 影響を受けます 影響を受けません
IX3010 影響を受けます 影響を受けません

※IX2004は非該当です。

詳細

RFC793のTCP仕様に脆弱な問題が存在しています。このため、RFC793をベースに設計されたIX1000/IX2000/IX3000シリーズ(ver.6.1.13以前)ではこの影響を受けます。具体的な影響としては以下の 3パターンが考えられます。

  1. 第三者のRSTパケットにより、既設のTCPコネクションが切れる場合があります。
  2. 第三者のSYNパケットにより、既設のTCPコネクションが切れる場合があります。
  3. 第三者が、既設のTCPコネクションに割り込んで、データ挿入できる可能性があります。

telnet サーバ/クライアント使用時の影響

IX1000/IX2000/IX3000シリーズルータにtelnet接続している、あるいはIX1000/IX2000/IX3000シリーズルータから他のホストにtelnet接続している際に、悪意を持った第三者によって、該当するコネクションが突然切断される可能性があります。

また、悪意を持った第三者によって、telnetに割り込んでデータを挿入される可能性もあります。

BGP使用時の影響

BGPも同様に、悪意を持った第三者によって、ピアとのコネクションを突然切断されたり、BGPのデータ送受信時に割り込んでデータを挿入される可能性があります。

対策

修正ソフトウェアへのバージョンアップ

ver.6.1.15以降のソフトウェアについては、以下のインターネットドラフトの適用により対策が施されています。

ver.6.1.15以降 draft-ietf-tcpm-tcpsecure-00.txt
ver.6.3.12以降 draft-ietf-tcpm-tcpsecure-01.txt

修正ソフトウェアの入手については、お買い上げの販売店またはお近くの弊社営業拠点にご相談下さい。

設定による回避

  • IX1000/IX2000/IX3000シリーズルータでtelnetもしくはBGPを使用する際は、IPSecを使用することによって、悪意を持った第三者からの攻撃を回避することが可能です。
  • telnetあるいはBGPを使用しないインタフェースでは、IX1000/IX2000/IX3000シリーズルータ宛のTCPパケットをフィルタリングするなどによって、攻撃を軽減することが可能です。
  • IX1000/IX2000/IX3000シリーズルータ宛への不要なTCPパケットがIX1000/IX2000/IX3000シリーズルータへ到達する前に、他のルータ等で該当パケットをフィルタリングするなどによって、攻撃を軽減することが可能です。

ページの先頭へ戻る