Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX1000/IX2000/IX3000シリーズTCP脆弱性問題(Vul 236929)に関する御報告
はじめに
2004年4月20日に英国のコンピュータ緊急事態対策チームであるNISCCより、
「この警報で述べる脆弱性は,RFC793(当初の仕様)とRFC1323(高速用TCP拡張)を含む,TCPに関するIETFのRFC群に合致したTCPの実現に影響を及ぼす。TCPは、今日のネットワークに接続されたコンピュータ・システムの大多数で利用されている中核的なネットワーク・プロトコルである。多くのベンダ各社の製品が、このプロトコルを搭載しており、ベンダごとに様々な作り込みをしている。さらに、TCPコネクションに依存したネットワーク・サービスやアプリケーションも影響を受ける。影響の度合いは、TCPセッションの持続時間が長いと深刻となる。」
というレポートが発表されました。
NISCC-236929
TCP にサービス運用妨害を伴う脆弱性
<https://jvn.jp/niscc/NISCC-236929/index.html>
TCP脆弱性問題(Vul 236929)の予測される影響
影響を受ける条件
以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンが ver.6.1.13以前である。
- telnet と BGPの両方、もしくはどちらか一方を使用している。
機種名/ソフトウェアバージョン | Ver.6.1.13 以前 | Ver.6.1.15 以降 |
---|---|---|
IX1010 | 影響を受けます | 影響を受けません |
IX1020 | 影響を受けます | 影響を受けません |
IX1050 | 影響を受けます | 影響を受けません |
IX1011 | 影響を受けます | 影響を受けません |
IX2003 | 影響を受けます | 影響を受けません |
IX2010 | 影響を受けます | 影響を受けません |
IX2015 | 影響を受けます | 影響を受けません |
IX3010 | 影響を受けます | 影響を受けません |
※IX2004は非該当です。
詳細
RFC793のTCP仕様に脆弱な問題が存在しています。このため、RFC793をベースに設計されたIX1000/IX2000/IX3000シリーズ(ver.6.1.13以前)ではこの影響を受けます。具体的な影響としては以下の 3パターンが考えられます。
- 第三者のRSTパケットにより、既設のTCPコネクションが切れる場合があります。
- 第三者のSYNパケットにより、既設のTCPコネクションが切れる場合があります。
- 第三者が、既設のTCPコネクションに割り込んで、データ挿入できる可能性があります。
telnet サーバ/クライアント使用時の影響
IX1000/IX2000/IX3000シリーズルータにtelnet接続している、あるいはIX1000/IX2000/IX3000シリーズルータから他のホストにtelnet接続している際に、悪意を持った第三者によって、該当するコネクションが突然切断される可能性があります。
また、悪意を持った第三者によって、telnetに割り込んでデータを挿入される可能性もあります。
BGP使用時の影響
BGPも同様に、悪意を持った第三者によって、ピアとのコネクションを突然切断されたり、BGPのデータ送受信時に割り込んでデータを挿入される可能性があります。
対策
修正ソフトウェアへのバージョンアップ
ver.6.1.15以降のソフトウェアについては、以下のインターネットドラフトの適用により対策が施されています。
ver.6.1.15以降 | draft-ietf-tcpm-tcpsecure-00.txt |
ver.6.3.12以降 | draft-ietf-tcpm-tcpsecure-01.txt |
修正ソフトウェアの入手については、お買い上げの販売店またはお近くの弊社営業拠点にご相談下さい。
設定による回避
- IX1000/IX2000/IX3000シリーズルータでtelnetもしくはBGPを使用する際は、IPSecを使用することによって、悪意を持った第三者からの攻撃を回避することが可能です。
- telnetあるいはBGPを使用しないインタフェースでは、IX1000/IX2000/IX3000シリーズルータ宛のTCPパケットをフィルタリングするなどによって、攻撃を軽減することが可能です。
- IX1000/IX2000/IX3000シリーズルータ宛への不要なTCPパケットがIX1000/IX2000/IX3000シリーズルータへ到達する前に、他のルータ等で該当パケットをフィルタリングするなどによって、攻撃を軽減することが可能です。
資料請求・お問い合わせ