Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.
Open Shortest Path First (OSPF)プロトコルのLink State Advertisement (LSA)に関する問題
掲載番号:NV13-006
脆弱性情報識別番号:VU#229804
概要
OSPFプロトコルで規定されているLSAには、LS Type、Advertising RouterおよびLink State IDが含まれています。
OSPFの規定では、router-LSAのLink State IDとAdvertising Routerには同一の値が設定されることになっています。
この二つの値が異なる、細工されたrouter-LSAを受信することでルーティングテーブルの内容が改ざんされる可能性があります。
対象製品
IP38Xシリーズ
影響の有無
影響あり
IP38Xシリーズでは、該当のOSPFv2パケットを受信した場合には、リブートを含む不安定な動作が発生する可能性があります。
OSPFv2パケットは、動的管理プロトコルという性格上、ルーターを越えて転送されることはありません。
したがって、本脆弱性は、ネットワーク内の同一セグメントからの攻撃は可能ですが、インターネット経由での攻撃が成立する可能性は非常に低いと考えられます。
対象となる製品のバージョン
| 製品名 | リビジョン |
| IP38X/3000 | すべてのリビジョン |
| IP38X/1200 | すべてのリビジョン |
| IP38X/810 | すべてのリビジョン |
| IP38X/250i | すべてのリビジョン |
| IP38X/1100, IP38X/1500, IP38X/107e | すべてのリビジョン |
| IP38X/1000*, IP38X/2000* | すべてのリビジョン |
| IP38X/105シリーズ* | すべてのリビジョン |
| IP38X/140シリーズ* | すべてのリビジョン |
| IP38X/300* | Rev.6.00.15以降 |
*印は、保守対応期限が過ぎている機種です。
対処方法
[回避策]
OSPFでMD5認証を使用するよう設定し、認証が行われていない機器とのOSPFとのやり取りをしないようにします。
例:バックボーンエリアに所属するインターフェース(LAN1)でMD5認証を使用する
|
ospf area backbone auth=md5
ip lan1 ospf area backbone md5key=123,himitsu
|
注:OSPF認証の設定をする場合、以下のことに注意してください。
- 同一エリアに属する全てのOSPFインターフェースで認証を行うよう設定してください。
- 設定完了後にospf configure refreshコマンドでOSPFを再起動させる必要があります。
[対策]
当該脆弱性への対策をしたファームウェアを順次リリースします。
2013/08/02時点でのリリース状況は以下の通りです。
| 製品名 | リビジョン |
| IP38X/3000 | 順次リリース |
| IP38X/1200 | 順次リリース |
| IP38X/810 | Rev.11.01.19以降 |
| IP38X/250 | 順次リリース |
| IP38X/SR100 | 順次リリース |
| IP38X/300 | 順次リリース |
| IP38X/1500 | 順次リリース |
| IP38X/1100 | 順次リリース |
| IP38X/107e | 順次リリース |
上記以外の機種では、対策ファームウェアのリリース予定はありません。
IX1000/IX2000/IX3000シリーズ
影響の有無
影響あり
OSPF機能を使用している場合、この脆弱性問題の影響を受けます。
本装置の工場出荷時の設定ではOSPF機能は無効化されているため、現在の運用コンフィグにOSPFを有効化する設定が含まれていなければ、本脆弱性の影響を受けることはありません。
悪意を持ったルータから不正なLSAを受信すると、経路情報が書き換えられる可能性があります。
経路情報が書き換わると、ユーザパケットが正しい宛先に転送されない可能性があります。
対象となる製品のバージョン
| 対象装置 | IX1010,IX1011,IX1020,IX1050,IX2003,IX2004,IX2005, IX2105,IX2010,IX2015,IX2025,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
| 対象ソフトウェア | ソフトウェアバージョンVer.3.0.10からVer.8.9.17Bまでの全バージョン |
対処方法
[回避策]
- OSPF認証を設定することで、悪意のあるネイバからの不正なLSAを受信しないように回避してください。
設定例
|
ip router ospf 10
area 0
network GigaEthernet0.0 area 0
interface GigaEthernet0.0
ip address 192.168.0.105/24
ip ospf authentication message-digest
ip ospf authentication-key [パスワード]
no shutdown
|
[対策]
ソフトウェアver.8.9.19以降、およびver.8.10以降で対応完了しています。
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口までお問い合わせください。
IX1000シリーズ/IX2003/IX2004/IX2010/IX2015においては、対策版のリリース予定はございません。
回避策によって対策をお願いいたします。
| 対象装置 | IX2005,IX2105,IX2025,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
| 修正ソフトウェア | ver.8.9.19以降 ver.8.10以降 |
参考情報
IX1000/IX2000/IX3000シリーズOSPF脆弱性問題(VU#229804)に関する御報告
Japan Vulnerability Notes JVNVU#96465452:
Open Shortest Path First (OSPF) プロトコルの Link State Advertisement (LSA) に関する問題
US-CERT VU#229804:
Open Shortest Path First (OSPF) Protocol does not specify unique LSA lookup identifers
CVE
CVE-2013-0149:
更新情報
- 2013/10/16
- IX1000/IX2000/IX3000シリーズを更新しました。
- 2013/09/06
- IP38Xシリーズ、IX1000/IX2000/IX3000シリーズを登録しました。
