Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX2000/IX3000シリーズTCP脆弱性問題に関する御報告
はじめに
TCPには幾つかの既存の脆弱性が報告されています。
IX2000/IX3000シリーズルータの一部機能が、TCPの脆弱性のひとつに該当することが判明致しました。
製品カテゴリ
対象装置: |
IX2005,IX2105,IX2025,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
---|---|
対象ソフトウェア: |
ゼロコンフィグモデル ソフトウェアバージョンVer.8.2.19からVer.8.9.17Bまでの全バージョン その他の製品 ソフトウェアバージョンVer.8.7.22からVer.8.9.17Bまでの全バージョン |
TCP脆弱性問題の予測される影響
影響を受ける条件
以下、いずれかの条件に合致する場合、本脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンがVer.8.7.22からVer.8.9.17Bの範囲に該当し、SSHサーバ機能を使用している。
- ゼロコンフィグ機能を使用している。
SSHサーバ機能、ゼロコンフィグ機能以外のTCPアプリケーションに関しては、本脆弱性問題の影響を受けません。
機種名 | ver.8.2未満 | ver.8.2.19 ~ver.8.6.22A |
ver.8.7.22 ~ver.8.9.17B |
ver.8.9.19 | ver.8.10.11以降 |
---|---|---|---|---|---|
IX2005 | 影響を受けません | 影響を受けません | 影響を受けます | 影響を受けません | リリース対象外 |
IX2105、IX2025、IX2215、 IX3010、IX3110 |
影響を受けません | 影響を受けません | 影響を受けます | 影響を受けません | 影響を受けません |
ゼロコンフィグモデル | ― | 影響を受けます | 影響を受けます | 影響を受けません | 影響を受けません |
SSHサーバ機能、ゼロコンフィグ機能使用時の影響
大量のセッション接続(SSHセッション、ゼロコンフィグ用セッション)が連続して発生した場合、IX2000/IX3000シリーズルータが再起動する可能性があります。
対策
修正ソフトウェアへのバージョンアップ
大量のセッション接続が連続して発生した場合でも、IX2000/IX3000シリーズルータの再起動が発生しないように対処しています。
回避策
SSHサーバ機能
以下のいずれかの対策を実施してください。
- SSHサーバ機能を使用しない
工場出荷時の設定では SSHサーバ 機能は無効化されているため、現在の運用コンフィグに SSHサーバ機能 を有効化する設定が含まれていなければ、本脆弱性の影響を受けることはありません。 - SSHサーバ機能を使用する場合、IPsecなどのセキュアな通信路を使用する
IX2000/IX3000シリーズルータでSSHサーバ機能を使用する場合、セキュアな通信路を使用することにより悪意を持った第三者からの攻撃を回避することが可能です。
上記の対策が困難な場合でも、アクセスリスト設定を行い送信元を制限することにより、本脆弱性の影響を軽減することが可能です。
設定例
ip access-list ssh-acl permit ip src [ネットワークアドレス] dest any
ssh-server ip access-list ssh-acl
ssh-server ip enable
ゼロコンフィグ機能
以下のいずれかの対策を行うことにより、本脆弱性の影響を回避することが可能です。
- ARMSプロキシサーバとの接続を接続持続型で使用する
接続持続型で使用することにより、クライアントとしてのみ動作します。
- ゼロコンフィグ機能に使用するTCPポートの通信を拒否する設定を行います。ゼロコンフィグ機能に使用するポートは、許可する設定が自動的に追加されるため、サーバ以外からの該当ポートへのアクセスを拒否することが可能となります。
設定例
ip access-list flt deny tcp src any dest any dport eq [ゼロコンフィグ機能TCPポート番号]
ip access-list flt permit ip src any dest any
!
interface GigaEthernet0.0
ip filter flt 10 in
資料請求・お問い合わせ