サイト内の現在位置を表示しています。

VPN対応高速アクセスルータ UNIVERGE IXシリーズ

IX1000/IX2000シリーズ IPsec脆弱性問題(VU#459371)に関するご報告

はじめに

2002年10月17日に米国のコンピュータ緊急事態対策チームであるCERT/CCより、

「IPSec データグラムの ESP 内の認証データ部のデータ長処理部に unsigned integer overflow バグがあり、これを利用して偽造したパケットを送信することでシステムを停止させることが可能である。」

というレポートが発表されました。

CERT Advisory CAN-2002-0666:
Multiple IPsec implementations do not adequately validate authentication data
(https://www.kb.cert.org/vuls/id/459371)

IPsec脆弱性問題(VU#459371)の予測される影響

IX1000/IX2000シリーズはIPsec機能を実装しておりますが、

  • Ver4.1以前のソフトウェアを使用している。
  • ESP認証機能(MD5もしくはSHA-1)を使用している。

の両方に該当する場合、この脆弱性問題の影響を受けます。

詳細

CERTの指摘にある「認証データが存在せず、データ部も 2byteより小さい不正ESPパケット」を受信し、且つ、その不正なIPsecパケットの送信元/宛先IPアドレスとSPI番号がIX1000/IX2000のSA管理情報に一致した場合、IPsecパケットの認証処理でリスタート(クラッシュ)が発生します。

機種名/ソフトウェアバージョン Ver.4.1 以前 Ver.4.2 以降
IX1010 リスタートする リスタートしない
IX1020 リスタートする リスタートしない
IX1050 リスタートする リスタートしない
IX1011 リスタートする リスタートしない
IX2010 リスタートする リスタートしない

※IX2003とIX2004,IX2015,IX3000シリーズは非該当です。

脆弱性の恒久処置
プログラム Ver.4.2.13 より、不正なIPsecパケットを受信した場合でも、IX1000/2000シリーズがリスタートしないように恒久処置を施しました。

Ver 4.1以前ソフトウェアによる回避処置
プログラム ver.4.1 以降のソフトウェアの場合、ESP認証機能を使用しない設定に変更することで、「認証データが存在しない不正ESPパケット」を受信してもリスタートは発生しません。

Ver 4.1以前ソフトウェアによる強化策(ESP認証機能を有効化した状態で使用する場合)
受信したIPsecパケットがIX1000/IX2000のSA管理情報に一致する可能性を極力低くするために、IPsec SAライフタイムを短く設定し、IPsec SAの更新を頻繁に行うよう設定を変更して下さい。
IPsec SAの更新周期を短くする際には、本装置を含めたIPsec装置の処理負荷が多く掛かる場合がありますので、その点にご注意をお願いします。

資料請求・お問い合わせ