Japan
サイト内の現在位置を表示しています。
「NTPの脆弱性(VU#718152、VU#321640)」に関するご報告について
-技術情報
第4版: 2017/08/03
第3版: 2017/04/17
第2版: 2016/12/12
第1版: 2016/10/31
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
1. 出典
US-CERT Vulnerability Note VU# 718152
Topic: NTP.org ntpd contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/718152/
US-CERT Vulnerability Note VU#321640
Topic: NTP.org ntpd is vulnerable to denial of service and other vulnerabilities
https://www.kb.cert.org/vuls/id/321640/
JP-CERT
https://jvn.jp/vu/JVNVU91176422/
https://jvn.jp/vu/JVNVU94410990/
2. 概要
NTP機能において、複数の脆弱性(VU#718152およびVU#321640)が報告されました。
本報告には、以下の脆弱性が含まれています。
■VU#718152
CVE-2015-7973: Authentication Bypass by Capture-replay
CVE-2015-7974: Improper Input Validation
CVE-2015-7975: Improper Input Validation
CVE-2015-7976: Improper Input Validation
CVE-2015-7977: NULL Pointer Dereference
CVE-2015-7978: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2015-7979: Incorrect Synchronization
CVE-2015-8138: Improper Input Validation
CVE-2015-8139: Information Exposure
CVE-2015-8140: Authentication Bypass by Capture-replay
CVE-2015-8158: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2016-1547: Incorrect Synchronization
CVE-2016-1548: Authentication Bypass by Spoofing
CVE-2016-1549: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
CVE-2016-1550: Improper Input Validation
CVE-2016-1551: Authentication Bypass by Spoofing
CVE-2016-2516, CVE-2016-2517: Improper Input Validation
CVE-2016-2518: Out-of-bounds Read
CVE-2016-2519: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2015-7704, CVE-2015-7705: Improper Input Validation
■VU#321640
CVE-2016-4957: CRYPTO-NAK denial of service introduced in Sec 3007 patch.
CVE-2016-4953: Bad authentication demobilizes ephemeral associations.
CVE-2016-4954: Processing of spoofed server packets affects peer variables.
CVE-2016-4955: Autokey associations may be reset when repeatedly receiving spoofed packets.
CVE-2016-4956: Broadcast associations are not covered in Sec 2978 patch.
3. 影響
報告された脆弱性の内、次の項目で製品が影響を受ける可能性があります。
『VU#718152』で報告されているCVE-2015-7973,CVE-2015-7979, CVE-2016-1550
『VU#321640』で報告されているCVE-2016-4953,CVE-2016-4954
影響による事象は、不正なパケット受信契機でピア切断等が発生することが考えられます。
それぞれの影響内容の詳細につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の"-"は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
| No. | 装置シリーズ名 | 影響を受けるバージョン |
|---|---|---|
| 1 | IP8800/S8600 | Ver 12.6.A以前 |
| 2 | IP8800/S8300 | Ver 12.6.A以前 |
| 3 | IP8800/S400 | 全 Ver |
| 4 | IP8800/S6700 | Ver 11.9.P以前 |
| 5 | IP8800/S6600 | Ver 11.9.P以前 |
| 6 | IP8800/S6300 | Ver 11.9.P以前 |
| 7 | IP8800/S300 | 全 Ver |
| 8 | IP8800/S4600 | Ver 11.14以前 |
| 9 | IP8800/S3800 | Ver 11.14.E以前 |
| 10 | IP8800/S3600 | Ver 11.14.E以前 |
| 11 | IP8800/S2500 | - |
| 12 | IP8800/S2400 | 全 Ver |
| 13 | IP8800/S2200 | - |
| 14 | IP8800/S2100 | - |
| 15 | IP8800/SS1200 | - |
| 16 | IP8800/A260 | - |
| 17 | IP8800/R8600 | Ver 12.6.A以前 |
| 18 | IP8800/R400 | 全 Ver |
4. 回避方法
次の方法で、影響を受ける可能性を低減できます。
<IP8800/S400><IP8800/S300><IP8800/R400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
<IP8800/S8600><IP8800/S8300><IP8800/S6700><IP8800/S6600><IP8800/S6300> <IP8800/R8600>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。 またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
<IP8800/S4600><IP8800/S3800><IP8800/S3600><IP8800/S2400>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
5. 対策
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
| No | 装置シリーズ名 | 対象ソフトウェア製品略称 | 対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | IP8800/S8600 | OS-SE | Ver 12.6.C | リリース済 |
| 2 | IP8800/S8300 | OS-SE | Ver 12.6.C | リリース済 |
| 3 | IP8800/S400 | OS-SW,OS-SWE | 無し | - |
| 4 | IP8800/S6700 | OS-SE | Ver.11.9.Q | リリース済 |
| 5 | IP8800/S6600 | OS-SE | Ver.11.9.Q | リリース済 |
| 6 | IP8800/S6300 | OS-SE | Ver.11.9.Q | リリース済 |
| 7 | IP8800/S300 | OS-SW,OS-SWE | 無し | - |
| 8 | IP8800/S4600 | OS-L3CA,OS-L3CL | Ver.11.14.A | リリース済 |
| 9 | IP8800/S3800 | OS-L3SA,OS-L3SL | Ver 11.14.F | リリース済 |
| 10 | IP8800/S3600 | OS-L3SA,OS-L3SL,OS-L3A,OS-L3L | Ver 11.14.F | リリース済*1 |
| 11 | IP8800/S2500 | 本脆弱性には該当しません | - | - |
| 12 | IP8800/S2400 | OS-L2 | 無し | - |
| 13 | IP8800/S2200 | 本脆弱性には該当しません | - | - |
| 14 | IP8800/S2100 | 本脆弱性には該当しません | - | - |
| 15 | IP8800/SS1200 | 本脆弱性には該当しません | - | - |
| 16 | IP8800/A260 | 本脆弱性には該当しません | - | - |
| 17 | IP8800/R8600 | OS-RE | Ver 12.6.C | リリース済 |
| 18 | IP8800/R400 | OS-R,OS-RE | 無し | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
6. ソフトウェアの入手方法
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。