Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.
NTPにおけるサービス運用妨害(DoS)の脆弱性
掲載番号:NV10-001
脆弱性情報識別番号:VU#568372
概要
NTPには、mode 7パケットの処理に脆弱性があります。
リモートの攻撃者によってサービス運用妨害 (DoS) 状態となる可能性があります。
対象製品
UNIVERGE IP8800シリーズ
影響の有無
影響あり
ネットワークトラフィックが増大し、CPU負荷が上昇します。
弊社製品では、IP8800/SS1200シリーズ以外の製品が本脆弱性の影響を受けます。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
対象となる製品のバージョン
NTPが設定されている下記製品が対象です。
NTP機能を使用していない場合には,対象外になります。
- IP8800/R400,S400,S300 (10-10-/B以降は対象外)
- IP8800/S6700,S6600,S6300 (11.3以降は対象外)
- IP8800/S3600,S2400 (11.2.A以降は対象外)
対処方法
[対策]
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
| No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
| 1 | IP8800/R400 | OS-R,OS-RE | 10-10-/B以降*1 | 済 |
| 2 | IP8800/S400 | OS-SW, OS-SWE | 10-10-/B以降*1 | 済 |
| 3 | IP8800/S300 | OS-SW, OS-SWE | 10-10-/B以降*1 | 済 |
| 4 | IP8800/S6700 | OS-SE | 11.3以降 | 済 |
| 5 | IP8800/S6600 | OS-SE | 11.3以降 | 済 |
| 6 | IP8800/S6300 | OS-SE | 11.3以降 | 済 |
| 7 | IP8800/S3600 | OS-L3A, OS-L3L | 11.2.A以降 | 済 |
| 8 | IP8800/S2400 | OS-L2 | 11.2.A以降 | 済 |
| 9 | IP8800/SS1200 | 本脆弱性には該当しません | - | - |
*1:本バージョンのリリースノートには本対策に対する記載がされておりませんが、 次版リリースノートにて記載いたします。
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、 セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、 あらかじめご了承ください。
情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
[ソフトウェアの入手方法]
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。
「NTPの脆弱性」に関するご報告
[回避策]
(1)IP8800/R400,S400,S300
コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
|
ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1
|
本設定をおこなっても、NTP機能は継続して運用可能です。
(2)IP8800/S6700,S6600,S6300
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)を アクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
(3)IP8800/S3600,S2400
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)を アクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
認証プロトコルご使用の際は、暗号化プロトコルを併用して使用して頂くことで、 なりすましやSNMPメッセージの改竄による、管理情報の漏洩や、 意図しないネットワーク設定の変更に対する危険性を回避することができます。
SecureBranch
影響の有無
影響あり
SecureBranchサーバは通常、ファイアウォールで守られた社内のイントラネット上に配置するため、社外から本脆弱性を利用した攻撃を受ける可能性は非常に低いと考えられます。
ただし、SecureBranch中継サーバはDMZやインターネット上に配置するため、本脆弱性に対する防御手段がなく、サービス不能に陥る可能性があります。
対象となる製品のバージョン
- Ver2.2以降のSecureBranchサーバ
- Ver2.2以降のSecureBranch中継サーバ
対処方法
以下のバージョン/リビジョンで対処済みです。
- Ver2.3.21
- Ver3.1.10
- Ver3.2.8
保守契約者様向けサイトにて物件(rpmファイル)を公開しておりますので、取得適用をご検討ください。
また、サイトの詳細につきましては弊社営業にお問合せください。
参考情報
Japan Vulnerability Notes JVNVU#568372:
NTP におけるサービス運用妨害 (DoS) の脆弱性
CERT/CC Vulnerability Note VU#568372:
NTP mode 7 denial-of-service vulnerability
CVE-2009-3563:
更新情報
- 2010/12/28
- UNIVERGE IP8800シリーズを登録しました。
- 2010/01/27
- SecureBranchを登録しました。
