Japan
サイト内の現在位置を表示しています。
「TCPプロトコルの脆弱性」に関するご報告
-技術情報
2010年1月18日(第1版)
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、 TCP の脆弱性について報告致します。
1. 本件の対象となる製品
下記製品が対象です。
- IP8800/R400,S400,S300(10.10.B以降は対象外)
- IP8800/S6700,S6600,S6300(11.3以降は対象外)
- IP8800/S3600,S2400(11.2.A以降は対象外)
- IP8800/SS1240(2.2.D以降は対象外)
- IP8800/SS1230(1.4.H以降は対象外)
2. 出典
JPCERT/CC Alert 2009-09-09
https://www.jpcert.or.jp/at/2009/at090019.txt
CERT-FI - CERT-FI Advisory on the Outpost24 TCP Issues
https://www.cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html
Common Vulnerabilities and Exposures CVE-2008-4609
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4609
US-CERT Vulnerability Note VU#723308
Topic:TCP may keep its offered receive window closed indefinitely (RFC 1122)
https://www.kb.cert.org/vuls/id/723308
Japan Vulnerability Notes JVNVU#943657
https://jvn.jp/cert/JVNVU943657/index.html
3. 概要
TCP(Transmission Control Protocol)プロトコルの実装によっては、システムやアプリケーションに影響を与えるサービス運用妨害攻撃(DoS:Denial of Services)を受ける可能性があります。
実装に依存しますが、一般的な影響としては次のものが挙げられます。
1.アプリケーションへの一時的影響
攻撃を受けている間は、アプリケーションが正しい相手からのTCP接続を行えずサービスが停止するが、攻撃が停止するとサービスは回復する。
2.アプリケーションへの永続的な影響
攻撃を受けている間は、アプリケーションが正しい相手からのTCP接続を行えずサービスが停止し、攻撃が停止してもその状態が継続する。
3.システムへの永続的な影響
攻撃を受けると、システムの基本的な動作が停止する。
4. 影響
本脆弱性を使用したDoS攻撃を受けた場合、装置あるいは一部サービスが再起動する不具合があることが判明いたしました。
また、脆弱性のひとつとしてTCPコネクションを不正に維持可能である動作も報告されておりますが、これはTCPプロトコル仕様に起因する動作となります。攻撃が継続している間は、新たなTCP接続が行えなくなりますが、攻撃が停止すると回復します。
なお、弊社ネットワーク製品を中継するTCPパケットによる装置への影響は発生しません。
5. 回避方法
本脆弱性は、TCP 3 way handshakeによるコネクション確立が前提となっているため、信頼できる接続先ではない遠隔からのTCPパケットをフィルタ機能にて廃棄する運用をお願い致します。
6. 対策
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 | |
---|---|---|---|---|---|
1 | IP8800/R400 | OS-R,OS-RE | 10-10-/B以降 | 済 | |
2 | IP8800/S400 | OS-SW, OS-SWE | 10-10-/B以降 | 済 | |
3 | IP8800/S300 | OS-SW, OS-SWE | 10-10-/B以降 | 済 | |
4 | IP8800/S6700 | OS-SE | 11.3以降 | 済 | |
5 | IP8800/S6600 | OS-SE | 11.3以降 | 済 | |
6 | IP8800/S6300 | OS-SE | 11.3以降 | 済 | |
7 | IP8800/S3600 | OS-L3A, OS-L3L | 11.2.A以降 | 済 | |
8 | IP8800/S2400 | OS-L2 | 11.2.A以降 | 済 | |
9 | IP8800/SS1200 | IP8800/SS1240 | OS-LT2 | 2.2.D以降 | 済 |
IP8800/SS1230 | OS-LT | 1.4.H以降 | 済 |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
7. ソフトウェアの入手方法
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。