Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

脆弱性問題に関するお知らせ

IX1000/IX2000/IX3000シリーズDNS脆弱性問題(VU#800113)に関する御報告

はじめに

2008年7月8日に米国のコンピュータ緊急事態対策チームであるUS-CERT、および2008年7月9日に日本国内のコンピュータ緊急事態対策チームであるJP-CERTより、

「最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。 DNSキャッシュサーバが対象になるとともに、PCなども攻撃対象になる可能性があることに注意してください。
キャッシュポイズニング攻撃は、偽造したresponseパケットを送り込むことにより行われます。」

というレポートが発表されました。

US-CERT Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
<https://www.kb.cert.org/vuls/id/800113>

Japan Vulnerability Note JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
<https://jvn.jp/cert/JVNVU800113/index.html>

DNS脆弱性問題(VU#800113)の予測される影響

影響を受ける条件

以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。

  • 現在使用しているソフトウェアのバージョンが ver.6.0.29 ~ ver.8.1.15に該当。
    ( ver.7.5の場合、ver.7.5.73以降は非該当)
  • DNSキャッシュ機能を使用している。

機種名 ver.6.0未満 ver.6.0.29
~ ver.8.1.15
ver.7.5.73 ver.8.2.19以降
IX1010、IX1011、
IX1020、IX1050
影響を受けません 影響を受けます リリース対象外 リリース対象外
IX2003 影響を受けません 影響を受けます リリース対象外 リリース対象外
IX2004 影響を受けます 影響を受けません リリース対象外
IX2005 影響を受けます 影響を受けません 影響を受けません
IX2010 影響を受けません 影響を受けます 影響を受けません 影響を受けません
IX2015 影響を受けます 影響を受けません 影響を受けません
IX3010 影響を受けません 影響を受けます 影響を受けません 影響を受けません
IX3110 影響を受けます 影響を受けません 影響を受けません

DNSキャッシュ使用時の影響

キャッシュポイズニング攻撃は、悪意を持った第三者から偽造したDNS responseパケットを送り込まれることにより影響を受けます。

IX1000/IX2000/IX3000シリーズルータでは、DNS queryパケットの送信元ポート番号はランダムではなく、ある範囲内で1ずつ加算された番号で送信されます。

このため、悪意を持った第三者により偽造したIPアドレスを教えられる可能性があります。この攻撃によって、ルータ内のDNSキャッシュ情報に誤ったIPアドレス情報が記憶されます。

ただし、IX1000/IX2000/IX3000シリーズルータ自身は異常動作とはなりません。

対策

修正ソフトウェアへのバージョンアップ

修正ソフトウェアでは、DNS query パケットの送信元ポートをDNS queryごとにランダムにすることにより、キャッシュポイズニング攻撃が成功する確率を低減しています。

修正ソフトウェアが存在しない機種については、次項の「設定による回避」を適用してください。

修正ソフトウェアの入手については、本製品をお買い上げの販売店にご相談下さい。

設定による回避

悪意を持った第三者により攻撃を受ける可能性がある環境では、DNSキャッシュ機能は使用しないようにしてください。

DNSキャッシュ機能はデフォルト「無効」です。
有効にしているユーザは、以下のコマンドを投入して無効化してください。

Router(config)# no dns cache enable (※)再起動不要

資料請求・お問い合わせ

Escキーで閉じる 閉じる