Japan
サイト内の現在位置を表示しています。
IPv6 実装における Forward Information Base のアップデートに関する問題
掲載番号:NV08-011
脆弱性情報識別番号:VU#472363
概要
IPv6網は、ルータやその他のリンク上の IPv6 ノードの検知と位置決めのために、Neighbor Discovery Protocol (NDP)を使用しています。NDPの実装には、細工されたパケットを適切に処理できず、攻撃者によって通信を盗聴されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。
対象製品
UNIVERGE IP8800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
以下の製品が影響を受けます。
- IP8800/R400(対象ソフトウェア製品略称:OS-R, OS-RE, OS-RME)
- IP8800/S400(対象ソフトウェア製品略称:OS-SW, OS-SWE)
- IP8800/S300(対象ソフトウェア製品略称:OS-SW, OS-SWE)
- IP8800/S6300(対象ソフトウェア製品略称:OS-S, OS-SE)
- IP8800/S6700(対象ソフトウェア製品略称:OS-S, OS-SE)
- IP8800/S3600(対象ソフトウェア製品略称:OS-L3L, OS-L3A)
以下の製品は影響を受けません。
- IP8800/S2400
- IP8800/SS1230
対処方法
[対策]
現在、対応策の検討を行っております。対応策が決まり次第、順次展開いたします。
[回避策]
インタフェースに設定されたIPv6アドレスのプレフィックス以外の発信元アドレスを持つNSメッセージをフィルタで廃棄することで回避可能です。
但し、IP8800/S3600シリーズ製品に関しては、NSメッセージを指定したフィルタ廃棄ができないので、発信元IPv6アドレスのプレフィックスを指定して、本来受信するインタフェースのみから受信するように設定することにより安全性を高めることができます。
なお、IP8800/S6300およびIP8800/S6700シリーズ製品においてはuRPF(Unicast Reverse Path Forwarding)機能により簡易に同種の設定が可能です。
参考情報
Japan Vulnerability Notes JVNVU#472363:
IPv6 実装における Forward Information Base のアップデートに関する問題
CERT/CC Vulnerability Note VU#472363:
IPv6 implementations insecurely update Forward Information Base
CVE-2013-5211, CVE-2008-2476:
更新情報
- 2008/10/16