Skip to main content

Fujitsu

Japan

IPv6実装におけるForward Information Baseのアップデートに関する問題(ネットワーク製品)

1.概要

IPv6 Neighbor Discovery Protocol (NDP) の実装には、細工されたパケットを適切に処理できず、攻撃者によって通信を盗聴されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。

この脆弱性は、IPv6にてルーティングを実行している場合にのみ影響があります。

2.内容

2-1.脆弱性の内容

この脆弱性はIPv6プロトコルを実装する装置にのみ影響します。NDP では、いくつかの ICMPv6 パケットタイプが定義されています。そのうちの一つである Neighbor Solicitation (NS)(近隣要請)メッセージは、近隣の IPv6 ノードの到達可能性を調べることなどに使用されます。NS メッセージによって近隣キャッシュが作成され、いくつかの IPv6 製品においてはForwarding Information Base (FIB) が作成されます。

悪意ある第三者が送信元を偽装されたNSメッセージを送信することによって、受信側装置のForwarding Information Base (FIB)(IPv6パケットを転送する際に使用するテーブル) が不当な内容となります。この結果、攻撃を受けた装置は適切に通信を転送できない状態となってしまい、通信を傍受されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。

本脆弱性はJVN(注1)より、「JVNVU#472363 IPv6 実装における Forward Information Base のアップデートに関する問題」として報告されています。

http://jvn.jp/cert/JVNVU472363/index.html

(注1) JVN:Japan Vulnerability Notes(脆弱性対策情報ポータルサイト)

2-2.製品/条件について

2-2-1. 弊社ネットワーク製品への影響

弊社ネットワーク製品について、本脆弱性による運用システムへの影響は次のとおりです。

攻撃者によって通信を盗聴されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性があります。

2-2-2. 調査済製品

今回運用システムへの影響度を確認した弊社ネットワーク製品は以下のとおりです。

  • Si-R70brin / Si-R80brin
  • Si-R130B / Si-R170 / Si-R180 / Si-R180B
  • Si-R220B / Si-R220C / Si-R240 / Si-R240B /
    Si-R260 / Si-R260B
  • Si-R370
  • Si-R570
  • SR-S716C2 / SR-S316C2
  • SR-S224TC2 / SR-S208TC2 / SR-S224PS1 /
    SR-S208PD1 / SR-S224CP1
  • SR-S324TC1 / SR-S724TC1
  • SR-S248TC1 / SR-S348TC1 / SR-S748TC1
  • IPCOM S2000 / IPCOM S2200

3.本脆弱性への対策

3-1. 運用による回避策

自装置のフィルタ機能を使用して、自装置が属しているサブネット以外のネットワークアドレスからのNSを破棄するようにしてください。

3-2. 恒久対策

回避策と同様になります。

お問い合わせ先

ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。

サービスビジネス本部 ネットワークビジネス推進統括部 ネットワークサービス推進部
icon-telephone Tel 03-6424-6266(直通)