Japan
サイト内の現在位置を表示しています。
「NTPの脆弱性(VU#374268)」に関するご報告
-技術情報
第3版: 2016/01/26
第2版: 2015/12/18
第1版: 2015/05/26
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
1. 出典
US-CERT Vulnerability Note VU# 374268
Date: April 7, 2015
Topic: NTP Project ntpd reference implementation contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/374268/
2. 概要
NTP機能において、複数の脆弱性が報告されました。
3. 影響
本脆弱性には、次の2つの脆弱性が含まれています。
CVE-2015-1798: ntpd accepts unauthenticated packets with symmetric key crypto
CVE-2015-1799: authentication doesn't protect symmetric associations against DoS attacks
それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
影響を受ける装置と影響バージョン
| No. | 装置シリーズ名 | CVE-2015-1798 | CVE-2015-1799 |
|---|---|---|---|
| 1 | IP8800/S8600 | 全Ver | - |
| 2 | IP8800/S6700 | 全Ver | - |
| 3 | IP8800/S6600 | 全Ver | - |
| 4 | IP8800/S6300 | 全Ver | - |
| 5 | IP8800/S4600 | 全Ver | - |
| 6 | IP8800/S3800 | 全Ver | - |
| 7 | IP8800/S3650 | 全Ver | - |
| 8 | IP8800/S3640 | 全Ver | - |
| 9 | IP8800/S3640 ER | 全Ver | - |
| 10 | IP8800/S3630 | 全Ver | - |
| 11 | IP8800/S2500 | - | - |
| 12 | IP8800/S2400 | 全Ver | - |
| 13 | IP8800/S2200 | - | - |
| 14 | IP8800/SS1200 | - | - |
| 15 | IP8800/S400 | 全Ver | - |
| 16 | IP8800/S300 | 全Ver | - |
| 17 | IP8800/R8600 | 全Ver | - |
| 18 | IP8800/R400 | 全Ver | - |
4. 回避方法
■CVE-2015-1798
<IP8800/S400><IP8800/S300><IP8800/R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
<IP8800/S8600><IP8800/S6700><IP8800/S6600><IP8800/S6300><IP8800/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。また、uRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
5. 対策
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
| No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | IP8800/S8600 | OS-SE | Ver 12.4.D以降 | リリース済 |
| 2 | IP8800/S6700 | OS-SE | Ver 11.9.L以降 | リリース済 |
| 3 | IP8800/S6600 | OS-SE | Ver 11.9.L以降 | リリース済 |
| 4 | IP8800/S6300 | OS-SE | Ver 11.9.L以降 | リリース済 |
| 5 | IP8800/S4600 | OS-L3CA, OS-L3CL | Ver 11.13以降 | リリース済 |
| 6 | IP8800/S3800 | OS-L3SA, OS-L3SL | Ver 11.14.A以降 | リリース済 |
| 7 | IP8800/S3650 | OS-L3SA, OS-L3SL | Ver 11.14.A以降 | リリース済 |
| 8 | IP8800/S3640 | OS-L3A, OS-L3L | Ver 11.14.A以降 | リリース済 |
| 9 | IP8800/S3640 ER | OS-L3A, OS-L3L | Ver 11.14.A以降 | リリース済 |
| 10 | IP8800/S3630 | OS-L3A, OS-L3L | 無し | - |
| 11 | IP8800/S2500 | 本脆弱性には該当しません | - | - |
| 12 | IP8800/S2400 | OS-L2 | Ver 11.7.L以降 | リリース済 |
| 13 | IP8800/S2200 | 本脆弱性には該当しません | - | - |
| 14 | IP8800/SS1200 | 本脆弱性には該当しません | - | - |
| 15 | IP8800/S400 | OS-SW, OS-SWE | 無し | - |
| 16 | IP8800/S300 | OS-SW, OS-SWE | 無し | - |
| 17 | IP8800/R8600 | OS-RE | Ver 12.4.D以降 | リリース済 |
| 18 | IP8800/R400 | OS-R, OS-RE | 無し | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
6. ソフトウェアの入手方法
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。