Japan
サイト内の現在位置を表示しています。
「BGP4/BGP4+ UPDATEメッセージ受信の問題」に関するご報告
-技術情報
第1版: 2008/06/30
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下にBGP4/BGP4+のUPDATEメッセージ受信に関する問題について報告致します。
1. 出典
US-CERT Vulnerability Note VU#929656
Date:May 1, 2008
https://www.kb.cert.org/vuls/id/929656
2. 概要
BGP4/BGP4+(Border Gateway Protocol)は、自律システム間の経路情報を交換するためのルーティングプロトコルです。BGP4 はIPv4 ユニキャストの経路情報を交換します。BGP4+はIPv6 ユニキャストの経路情報を交換します。経路情報を交換するために隣接ルータ間でBGP4/BGP4+コネクションを確立、維持し、BGP4/BGP4+コネクション上でUPDATEメッセージにより経路情報を交換します。 UPDATE メッセージ内のパス属性タイプ値およびASパス属性情報に通常使用されない値が意図的に設定されていることにより、隣接ルータと確立済みのBGP4/BGP4+コネクションが切断する危険性があります。
3. 影響
1.パス属性タイプ値に関する脆弱性について
本脆弱性を引き起こすUPDATEメッセージを受信するとUPDATEメッセージエラー(エラーサブコードは1)を送信し、コネクションを切断します。その後、当該隣接ルータとBGP4/BGP4+コネクションを再確立しますが、同様のUPDATEメッセージを受信し続ける場合、コネクションの切断・再確立を繰り返します。隣接ルータから受信した経路情報は他の隣接ルータに再配布しますが、コネクションの切断・再確立を繰り返すことで、到達経路・非到達経路情報の再配布を繰り返すため、経路情報フラップが発生する可能性があります。
2.ASパス属性情報に関する脆弱性について本脆弱性の影響はありません。
4. 回避方法
パス属性タイプ値に関する脆弱性について、回避策はありません。以下に示すバージョンを適用して頂くことで、BGP4/BGP4+コネクションの不要な切断を回避することができます。
| No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対象バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | IP8800/R400 | OS-R, OS-RE | 10-07以降 | 済 |
| 2 | IP8800/S400 | OS-SW, OS-SWE | 10-07以降 | 済 |
| 3 | IP8800/S300 | OS-SW, OS-SWE | 10-07以降 | 済 |
| 4 | IP8800/S6300 | OS-S, OS-SE | 10.6.A以降 | 済 |
| 5 | IP8800/S6700 | OS-S, OS-SE | 10.6.A以降 | 済 |
| 6 | IP8800/S3600 | OS-L3A | 10.6.B以降 | 済 |
5. ソフトウエアの入手方法
対策版ソフトウェアの入手については、販売店またはお近くの弊社営業拠点にご相談下さい。