GeoStream R900シリーズ/LR-XシリーズおよびSi-R870のTCP脆弱性への対応について(続報)
掲載日:2004年6月24日
NISCC(注1)より、「TCPの潜在的な脆弱性(注2)」の存在が報告され、弊社ネットワーク製品においても脆弱性の存在が確認されました。
脆弱性の内容および対応方法についてご連絡いたします。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略称
英国における重要インフラ保護のための機関。
(注2) NISCC Vulnerability Advisory 236929/TCP
Potential Reliability Issue in TCP.
1. 脆弱性内容
1-1.概要
本脆弱性は、TCPの基本的な実装に潜在するものです。TCPはネットワークで使用される基本的なネットワークプロトコルで、その通信にはシーケンス番号を使用してやりとりを行っております。このシーケンス番号を第三者に予測された場合、接続中のセションの切断、不正なデータの挿入、DoS (Denial of Services:サービス継続不能)攻撃等を受ける可能性があります。
1-2.発生事象/影響
攻撃をうけた場合、ネットワークアクセスが一時的に使用できなくなる場合があります。
・TCP通信を行う、ほとんどのネットワーク製品が攻撃の対象となる可能性がありますが、一般的な利用法(短時間のセションの通信)では、シーケンス番号の予測が困難なため、攻撃の可能性はかなり低いと考えられます。
・ルータ間の経路情報のやりとりに利用するBGP(注3)は、長時間のセションを使用するため、攻撃を受ける危険性が他の通信と比べて高くなります。
(注3) BGP : Border Gateway Protocolの略称
複数のネットワークを接続した環境において、各ネットワーク間で接続機器が経路情報をやりとりするためのプロトコル。
1-3. 該当製品
基本的にTCPスタックを持つ全てのネットワーク製品がこの脆弱性の対象となります。
また、以下の製品において、脆弱性の可能性を確認いたしました。
・GeoStream R900シリーズ : R980 / R920
・GeoStream Si-Rシリーズ (注) : Si-R870
・LR-Xシリーズ : LR-X7050 / 6030 / 3050 / 2180 / 2160E / 2080S / 2060 / 2060E / 2050
(注) GeoStream Si-Rシリーズの以下の機種は、TCPのシーケンス番号チェックを厳しく行っており、本脆弱性による影響はほとんどありません。
・GeoStream Si-Rシリーズ : Si-R500シリーズ、Si-R300シリーズ、Si-R200シリーズ、Si-R100シリーズ
2. 対応方法について
2-1.運用による回避策
・他のルーティングプロトコルが使用可能な場合はBGPを止め、RIP/OSPF等、またはスタティックルーティングを使用することで、攻撃成功の可能性を著しく低減できます。
・BGPを使用する場合は、信頼できる機器からのアクセスに限定することや、有効な位置にファイアーウォールを設置することで、攻撃の脅威にさらされる危険性を著しく低減することが可能です。
(注): 弊社製ファイアーウォール(NetShelter/FWシリーズ、IPCOM Sシリーズ)では、不正TCPリセットパケット攻撃を防御する機能を提供しております。
2-2.恒久対策
下記対応製品に対し、TCP脆弱性対処用ソフトウェアまたは修正パッチファイルをご提供します。本ソフトウェアまたは修正パッチファイルを適用することにより、本脆弱性による影響がほとんどなくなります。
| 対象製品 | 対処済バージョン/レベル | 提供時期 | |
|---|---|---|---|
| GeoStream R980 基本ソフトウェア | V3 | V03L44 | 提供済 |
| V03L10 | 提供済 | ||
| V2 | V02L02 | 提供済 | |
| GeoStream R920基本ソフトウェア | V3 | V03L44 | 提供済 |
| V03L10 | 提供済 | ||
| 対象製品 | 対処済バージョン | 提供時期 | |
|---|---|---|---|
| Si-R870 基本ソフトウェア | V2 | V02L01 | 提供済 |
| 対象製品 | 対処済バージョン | 提供時期 | |
|---|---|---|---|
| LR-X基本ソフトウェア(LR-X7050/6030用) | V4 | V04.11 | 提供済 |
| LR-X基本ソフトウェア(LR-X3050用) | V6 | V06.02 | 提供済 |
| V5 | V05.05 | 提供済 | |
| LR-X基本ソフトウェア(LR-X2180/2160E/2060用) | V5 | V05.05 | 提供済 |
| LR-X基本ソフトウェア(LR-X2080S/2060E/2050用) | V5 | V05.05 | 提供済 |
2-3.対処済ソフトウェアの入手方法
脆弱性対処済みソフトウェアは無償でご提供致します。
また、弊社技術員によるインストールサービスも有償にて提供しております。ご購入いただいた販売会社、または、弊社担当営業にお申し付け下さい。
- LR-Xシリーズの対処済ソフトウェア
以下のホームページにて提供しています。
本サービス/製品のサポート - GeoStream R900シリーズ、Si-R870の対処済ソフトウェア
ご購入いただいた販売会社または弊社担当営業へお問い合わせください。
3. 関連情報
TCPに潜在する脆弱性への対応について
CISCO製品のTCP脆弱性への対応について
お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
プラットフォームソリューションセンター
プロダクトマーケティング統括部 ネットワーク部
tel:(03)6252-2660(直通)
