Skip to main content

Fujitsu

Japan

複数の TCP の実装におけるサービス運用妨害 (DoS) の脆弱性に関する対応について(ネットワーク製品)

1.概要

RFC793などで規定されている Transmission Control Protocol (TCP) の実装には、接続確立後に利用可能なリソースを悪用することに起因するサービス運用妨害 (DoS) の脆弱性が存在します。本脆弱性はTCPを使用するtelnet、SSH、FTP、HTTP通信にて発生し、悪意のある攻撃者はサービス妨害(Denial-of-Service, DOS)攻撃が可能となります。本脆弱の内容と弊社ネットワーク製品での対応策について通知致します。

2.内容

2-1.脆弱性の内容

本脆弱性によるDoS攻撃をうけた場合、TCPコネクションが大量に長時間確立されることでシステム資源が枯渇し、システムダウンが発生する可能性が報告されています。また、本脆弱性はJVN(注1)より、「JVNVU#943657:複数の TCP の実装におけるサービス運用妨害 (DoS) の脆弱性」として報告されています。
http://jvn.jp/cert/JVNVU943657/index.html

(注1) JVN:Japan Vulnerability Notes(脆弱性対策情報ポータルサイト)

2-2.製品/条件について

2-2-1. 弊社ネットワーク製品への影響

弊社ネットワーク製品について、本脆弱性による運用システムへの影響は次のとおりです。

本脆弱性はTCPプロトコルを利用して、多数のTCPコネクションを確立することによってシステム資源の枯渇を発生させるものです。本脆弱性はTCPのコネクションを制御する装置にのみ影響します。よって、ルータやスイッチ等のネットワーク層以下の中継機能には影響がありません。

また、保守ログイン(Telnet/SSH、Web管理機能)などネットワーク製品自身がTCPコネクションを確立する場合、弊社ネットワーク製品においては、TCPコネクション数を管理しており、仕様範囲のコネクション数であれば装置のリブートやハングアップ等の不具合が発生することはありません。

このように、本脆弱性に関して弊社ネットワーク製品は問題ありません。

2-2-2. 調査済製品

今回運用システムへの影響度を確認した弊社ネットワーク製品は以下のとおりです。

  • Si-Rシリーズ
  • IPCOM EXシリーズ
  • IPCOMシリーズ
  • IPCOM Sシリーズ

3.本脆弱性への対策

3-1. 運用による回避策

本脆弱性の影響を受けないため、回避策は不要です。
ただし、TCPコネクションが仕様制限まで不正に確立された場合は、対象装置への保守操作ができなくなります。ネットワーク製品にて自身への不正アクセスを制限する対処をご検討ください。

3-2. 恒久対策

本脆弱性の影響を受けないため、修正予定はありません。

お問い合わせ先

ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。

サービスビジネス本部 ネットワークビジネス推進統括部 ネットワークサービス推進部
icon-telephone Tel 03-6424-6266(直通)