Japan

サイト内の現在位置を表示しています。

「NTPの脆弱性(VU#852879)」に関するご報告

-技術情報

第4版: 2016/02/17
第3版: 2015/12/18
第2版: 2015/05/26
第1版: 2015/02/06

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

1. 出典

US-CERT Vulnerability Note VU#852879
Date: December 19, 2014
Topic: Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/852879/
JP-CERT
https://jvn.jp/cert/JVNVU96605606/

2. 概要

NTP機能において、複数の脆弱性が報告されました。

3. 影響

本脆弱性には、次の6つの脆弱性が含まれています。
 
  CVE-2014-9293: Insufficient Entropy in Pseudo-Random Number Generator (PRNG)
  CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
  CVE-2014-9295: Stack Buffer Overflow
  CVE-2014-9296: Error Conditions, Return Values, Status Codes
  CVE-2014-9297: Improper Check for Unusual or Exceptional Conditions
  CVE-2014-9298: Authentication Bypass by Spoofing

それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

影響を受ける装置と影響バージョン

No. 装置シリーズ名 CVE-2014
-9293		 CVE-2014
-9294		 CVE-2014
-9295		 CVE-2014
-9296		 CVE-2014
-9297		 CVE-2014
-9298
1 IP8800/S8600 全Ver
2 IP8800/S6700 全Ver Ver 11.9.G より前
3 IP8800/S6600 全Ver Ver 11.9.G より前
4 IP8800/S6300 全Ver Ver 11.9.G より前
5 IP8800/S4600 全Ver
6 IP8800/S3800 全Ver Ver 11.12 より前
7 IP8800/S3650 全Ver Ver 11.12 より前
8 IP8800/S3640 全Ver Ver 11.12 より前
9 IP8800/S3640 ER 全Ver Ver 11.12 より前
10 IP8800/S3630 全Ver Ver 11.11.B より前
11 IP8800/S2500
12 IP8800/S2400 全Ver Ver 11.7.G より前
13 IP8800/S2200
14 IP8800/SS1200
15 IP8800/S400 全Ver Ver 10-10-/R より前
16 IP8800/S300 全Ver Ver 10-10-/R より前
17 IP8800/R8600 全Ver Ver 12.2 より前
18 IP8800/R400 全Ver Ver 10-10-/R より前

4. 回避方法

■CVE-2014-9293 / CVE-2014-9295

<IP8800/S400><IP8800/S300><IP8800/R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295の脆弱性を回避できます。 
 ntp restrict 0.0.0.0 noquery
 ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。

<IP8800/S8600><IP8800/S6700><IP8800/S6600><IP8800/S6300><IP8800/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
 

5. 対策

本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。

No. 装置シリーズ名 対象ソフトウェア
製品略称		 対策バージョン 対策版リリース日
1 IP8800/S8600 OS-SE Ver 12.4.D以降 リリース済
2 IP8800/S6700 OS-SE Ver 11.9.L以降 リリース済
3 IP8800/S6600 OS-SE Ver 11.9.L以降 リリース済
4 IP8800/S6300 OS-SE Ver 11.9.L以降 リリース済
5 IP8800/S4600 OS-L3CA, OS-L3CL Ver 11.13以降 リリース済
6 IP8800/S3800 OS-L3SA, OS-L3SL Ver 11.14.A以降 リリース済
7 IP8800/S3650 OS-L3SA, OS-L3SL Ver 11.14.A以降 リリース済
8 IP8800/S3640 OS-L3A, OS-L3L Ver 11.14.A以降 リリース済
9 IP8800/S3640 ER OS-L3A, OS-L3L Ver 11.14.A以降 リリース済
10 IP8800/S3630 OS-L3A, OS-L3L 無し
11 IP8800/S2500 本脆弱性には該当しません
12 IP8800/S2400 OS-L2 Ver 11.7.L以降 リリース済
13 IP8800/S2200 本脆弱性には該当しません
14 IP8800/SS1200 本脆弱性には該当しません
15 IP8800/S400 OS-SW, OS-SWE 無し
16 IP8800/S300 OS-SW, OS-SWE 無し
17 IP8800/R8600 OS-RE Ver 12.4.D以降 リリース済
18 IP8800/R400 OS-R, OS-RE 無し

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

6. ソフトウェアの入手方法

ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。