ページの先頭です。

サイト内の現在位置を表示しています。
ここから本文です。

「Network Time Protocol daemon (ntpd) に複数の脆弱性」に関する通知

~技術情報~

第3版: 2015/07/07


平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。

UNIVERGE PFシリーズ製品におけるNetwork Time Protocol daemon (ntpd)の複数の脆弱性(CVE-2014-9293~9296)についてお知らせいたします。


1.概要

Network Time Protocol daemon (ntpd) に複数の脆弱性(CVE-2014-9293~9296)が発見されました。

脆弱性の詳細につきましては、以下のサイトをご参照ください。


CVE-2014-9293:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9293


CVE-2014-9294:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9294


CVE-2014-9295:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9295


CVE-2014-9296:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9296

2.事象

各脆弱性(CVE)の影響は以下の通りです。


脆弱性 影響

概要

CVE-2014
-9293
認証強度の低下 ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
CVE-2014
-9294
認証強度の低下 4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に不適切な乱数生成器を使い、対称鍵を生成します。
CVE-2014
-9295
任意のコード実行 ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
CVE-2014
-9296
エラー処理の問題 ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、エラー発生時に処理が停止しない問題があります。

3.該当製品

  • UNIVERGE PF6800(プログラマブルフロー・コントローラ)

    Ver.6.1.0.0 未満


  • UNIVERGE PF5000シリーズ(プログラマブルフロー・スイッチ)

    製品と脆弱性の該当状況は下記の通りとなっています。


脆弱性

該当製品

CVE-2014-9293 PF5220/PF5240/PF5248/全バージョン
CVE-2014-9295 PF5220/PF5240/PF5248/Ver.5.0.0.0 以前のバージョン
PF5459/全バージョン

4.対策

<UNIVERGE PF6800>

対処済みソフトウェアへバージョンアップする事により、恒久的な対策を行う事ができます。

  • 対策済みバージョン: Ver.4.0.1.3、Ver.5.1.2.1、Ver.6.1.0.0 以降

<UNIVERGE PF5000シリーズ>

対策済みソフトウェアを提供予定です。

準備が出来ましたらこちらのページでお知らせします。

5.回避方法

<UNIVERGE PF6800>

上記対策以外に、回避策はありませんので、バージョンアップをお願いします。


<UNIVERGE PF5000シリーズ>

NTPを利用する場合は、信頼できるNTPサーバを利用して下さい。

これにより本脆弱性を回避することができます。



なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。

情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ページの先頭へ戻る