2005年10月3日 更新
IPCOM SシリーズのTCP脆弱性への対応について
NISCC(注1)より、「TCPの潜在的な脆弱性(注2)」の存在が報告され、IPCOM Sシリーズにおいても脆弱性の存在が確認されました。 脆弱性の内容および対応方法についてご連絡いたします。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略称
英国における重要インフラ保護のための機関。
(注2) NISCC Vulnerability Advisory 236929/TCP
Potential Reliability Issue in TCP.
1. 脆弱性内容
1-1. 概要
本脆弱性は、TCPの基本的な実装に潜在するものです。 TCPはネットワークで使用される基本的なネットワークプロトコルで、その通信にはシーケンス番号を使用してやりとりを行っております。長時間セッションを張り続けていると、このシーケンス番号が第三者より予測され、サービスの停止などの攻撃を受ける可能性があります。
1-2. 発生事象/影響
経路情報のやりとりに長時間のTCPセッションを必要とするBGP(注3)を使用した場合、悪意を持った攻撃者によるDoS(Denial of Services: サービス継続不能)攻撃を受ける可能性があります。
なお、攻撃を受けた場合、ネットワークアクセスが一時的に使用できなくなるなどの影響があります。
(注3) BGP: Border Gateway Protocolの略称
複数のネットワークを接続した環境において、各ネットワーク間で
接続機器が経路情報をやりとりするためのプロトコル。
1-3. 該当製品
IPCOM Sシリーズ: S2200/S2000/S1200/S1000
2. 対応方法について
2-1. 当面の対応策
- BGP以外の他のルーティングプロトコル(RIP/OSPF等)、またはスタティックルーティングを使用する。
- BGPを使用する場合は、IPsecでトラフィックを暗号することや、本装置のファイアーウォール機能を使用して、信頼できる機器からのアクセスに限定することにより、攻撃の脅威にさらされる危険性を低減することが可能です。
2-2. 恒久対策
対象となる製品で脆弱性対処済みファームウェアヘバージョアップすることで恒久的な対策を行うことができます。
| 対象製品 | 対象版数 | 対処済版数 | 提供日 |
|---|---|---|---|
| IPCOM S2200 | E10L10 | E10L11 | 2004年6月11日 提供済 |
| IPCOM S2000 | E10L10 | E10L11 | 2004年6月11日 提供済 |
| IPCOM S1200 | E10L10 | E10L11 | 2004年6月22日 提供済 |
| IPCOM S1000 | E10L10 | E10L11 | 2004年6月22日 提供済 |
2-3. 対処済ファームウェアの入手方法
脆弱性対処済みファームウェアは無償でご提供致します。 ファームウェアの入手についてはご購入いただいた販売会社または弊社担当営業へお問い合わせください。 また、ご希望がある場合は有償にてインストール代行サービスも提供しております。
2-4. 注意事項
脆弱性対処済みファームウェアをインストールする場合、システム停止を伴う場合があります。
3. 関連情報
4. お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせ下さい。
プラットフォームソリューションセンター プロダクトマーケティング統括部
エンタープライズサーバ部
Tel: (03)6252-2654 (直)
以上
