Japan
サイト内の現在位置を表示しています。
「NTPの脆弱性(VU#852879)」に関するご報告
-技術情報
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
1. 出典
US-CERT Vulnerability Note VU#852879
Date: December 19, 2014
Topic: Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/852879/
JP-CERT
https://jvn.jp/cert/JVNVU96605606/
2. 概要
NTP機能において、複数の脆弱性が報告されました。
3. 影響
本脆弱性には、次の6つの脆弱性が含まれています。
CVE-2014-9293: Insufficient Entropy in Pseudo-Random Number Generator (PRNG)
CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
CVE-2014-9295: Stack Buffer Overflow
CVE-2014-9296: Error Conditions, Return Values, Status Codes
CVE-2014-9297: Improper Check for Unusual or Exceptional Conditions
CVE-2014-9298: Authentication Bypass by Spoofing
それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
影響を受ける装置と影響バージョン
No. | 装置シリーズ名 | CVE-2014 -9293 |
CVE-2014 -9294 |
CVE-2014 -9295 |
CVE-2014 -9296 |
CVE-2014 -9297 |
CVE-2014 -9298 |
---|---|---|---|---|---|---|---|
1 | IP8800/S8600 | 全Ver | - | - | - | - | - |
2 | IP8800/S6700 | 全Ver | - | Ver 11.9.G より前 | - | - | - |
3 | IP8800/S6600 | 全Ver | - | Ver 11.9.G より前 | - | - | - |
4 | IP8800/S6300 | 全Ver | - | Ver 11.9.G より前 | - | - | - |
5 | IP8800/S4600 | 全Ver | - | - | - | - | - |
6 | IP8800/S3800 | 全Ver | - | Ver 11.12 より前 | - | - | - |
7 | IP8800/S3650 | 全Ver | - | Ver 11.12 より前 | - | - | - |
8 | IP8800/S3640 | 全Ver | - | Ver 11.12 より前 | - | - | - |
9 | IP8800/S3640 ER | 全Ver | - | Ver 11.12 より前 | - | - | - |
10 | IP8800/S3630 | 全Ver | - | Ver 11.11.B より前 | - | - | - |
11 | IP8800/S2500 | - | - | - | - | - | - |
12 | IP8800/S2400 | 全Ver | - | Ver 11.7.G より前 | - | - | - |
13 | IP8800/S2200 | - | - | - | - | - | - |
14 | IP8800/SS1200 | - | - | - | - | - | - |
15 | IP8800/S400 | 全Ver | - | Ver 10-10-/R より前 | - | - | - |
16 | IP8800/S300 | 全Ver | - | Ver 10-10-/R より前 | - | - | - |
17 | IP8800/R8600 | 全Ver | - | Ver 12.2 より前 | - | - | - |
18 | IP8800/R400 | 全Ver | - | Ver 10-10-/R より前 | - | - | - |
4. 回避方法
■CVE-2014-9293 / CVE-2014-9295
<IP8800/S400><IP8800/S300><IP8800/R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295の脆弱性を回避できます。
ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。
<IP8800/S8600><IP8800/S6700><IP8800/S6600><IP8800/S6300><IP8800/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
5. 対策
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
---|---|---|---|---|
1 | IP8800/S8600 | OS-SE | Ver 12.4.D以降 | リリース済 |
2 | IP8800/S6700 | OS-SE | Ver 11.9.L以降 | リリース済 |
3 | IP8800/S6600 | OS-SE | Ver 11.9.L以降 | リリース済 |
4 | IP8800/S6300 | OS-SE | Ver 11.9.L以降 | リリース済 |
5 | IP8800/S4600 | OS-L3CA, OS-L3CL | Ver 11.13以降 | リリース済 |
6 | IP8800/S3800 | OS-L3SA, OS-L3SL | Ver 11.14.A以降 | リリース済 |
7 | IP8800/S3650 | OS-L3SA, OS-L3SL | Ver 11.14.A以降 | リリース済 |
8 | IP8800/S3640 | OS-L3A, OS-L3L | Ver 11.14.A以降 | リリース済 |
9 | IP8800/S3640 ER | OS-L3A, OS-L3L | Ver 11.14.A以降 | リリース済 |
10 | IP8800/S3630 | OS-L3A, OS-L3L | 無し | - |
11 | IP8800/S2500 | 本脆弱性には該当しません | - | - |
12 | IP8800/S2400 | OS-L2 | Ver 11.7.L以降 | リリース済 |
13 | IP8800/S2200 | 本脆弱性には該当しません | - | - |
14 | IP8800/SS1200 | 本脆弱性には該当しません | - | - |
15 | IP8800/S400 | OS-SW, OS-SWE | 無し | - |
16 | IP8800/S300 | OS-SW, OS-SWE | 無し | - |
17 | IP8800/R8600 | OS-RE | Ver 12.4.D以降 | リリース済 |
18 | IP8800/R400 | OS-R, OS-RE | 無し | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
6. ソフトウェアの入手方法
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。