http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_46.html Revision : 10.00.46 Release : Jul. 2009, ヤマハ株式会社 Rev.10.00.46リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.10.00.44 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下 の機能追加を行った。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定 できるようにした。 また、GUIの[アクセス管理]-[SSHの設定]から暗号アルゴリズムを設定できるように した。 ○SSHサーバで利用可能な暗号アルゴリズムの設定 [書式] sshd encrypt algorithm [ALGORITHM ...] no sshd encrypt algorithm [...] [設定値] ○ ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能) ●aes128-ctr ..... AES128-CTR ●aes192-ctr ..... AES192-CTR ●aes256-ctr ..... AES256-CTR ●aes128-cbc ..... AES128-CBC ●aes192-cbc ..... AES192-CBC ●aes256-cbc ..... AES256-CBC ●3des-cbc ....... 3DES-CBC ●blowfish-cbc ... Blowfish-CBC ●cast128-cbc .... CAST-128-CBC ●arcfour ........ Arcfour [説明] SSHサーバで利用可能な暗号アルゴリズムを設定する。 ALGORITHMで指定した暗号アルゴリズムのリストをSSH接続時にクライアントへ提 案する。 [ノート] ALGORITHMで指定した暗号アルゴリズムをクライアントがサポートしていない場 合には、そのクライアントとSSHによる接続ができない。 [初期値] aes128-ctr aes192-ctr aes256-ctr [2] QAC/TMで以下の機能を追加した。 ・クライアントのウイルスパターンファイルとウイルス検索エンジンを自動でアップ  デートすることができるようにした。クライアントPCにエージェントソフトウェア  がインストールされている必要がある。  また、自動アップデート機能が有効である場合には、ウイルスパターンファイルも  しくはウイルス検索エンジンが古いクライアントPCからのWebアクセスで警告画面  を表示するとともに、エージェントソフトウェアを利用して手動でアップデートが  実行することもできるようになる。 ・クライアントへのバージョン情報を取得するためのポート番号を複数設定できるよ  うにした。GUIからの設定では最多で4つ設定できる。 ・警告画面の表示を外部のWebサーバーへリダイレクトできるようにした。 ・クライアントのウイルスパターンファイルとウイルス検索エンジンのバージョン情  報を手動で再取得できるようにした。 ・管理サーバから情報を取得する際のプロトコルとしてHTTPSにも対応した。 ・GUIの[QAC/TM]-[管理サーバの状態と端末の管理]の個別にアクセスを許可する固定  IPアドレスの端末の表示で、アクセスのあった端末についてはそのMACアドレスに  対応するIPアドレスとアクセスの可否を表示するようにした。  さらに、そこから任意の端末を選択してアクセスを許可もしくは禁止する設定がで  きるようにした。 ・WAN側にWebプロキシサーバーがある場合に対応した。これにより、不適格PCから  GUIヘルプや警告画面にリンクしているトレンドマイクロ社のWebサイトにアクセス  することができるようになる。 ・上記の機能に関連する以下のコマンドを追加もしくは仕様変更した。 ○ クライアントPCのアンチウイルスソフトウェアバージョン情報を取得するポート 番号の設定 [書式] qac-tm client port PORT [PORT...] no qac-tm client port [設定値] PORT ... 空白で区切られたポート番号の並び(10個以内) [説明] クライアントPCにインストールしているアンチウイルスソフトウェアのバージ ョン情報を取得するポート番号を設定する。 [初期値] なし ○ クライアントPCにインストールしているアンチウイルスソフトウェアのウイルス パターンファイルとウイルス検索エンジンの自動アップデートの設定 [書式] qac-tm client update SW [PORT] no qac-tm client update [設定値] SW o on ... 自動アップデートを行う o off ... 自動アップデートを行わない PORT ... 自動アップデート指示を送信するUDPポート番号 o 1 - 65535 [説明] クライアントPCにインストールされているアンチウイルスソフトウェアびウイ ルスパターンファイルとウイルス検索エンジンを自動でアップデートするか否 かを設定する。 [ノート] 本機能を使用する場合は、クライアントPCにエージェント(QAC/TM エージェン ト)をインストールしている必要がある。 [初期値] off 52225 ○ QAC/TMで表示する警告画面の設定 [書式] qac-tm warning url URL no qac-tm warning url [設定値] URL ... 不適格PCのWebアクセスで表示する警告画面のURL [説明] 不適格PCからのWebアクセス時に表示する警告画面のURLを設定する。 [初期値] ルータが用意する警告画面のURL ○ クライアントPCのアンチウイルスソフトウェアパターンファイル情報を更新する [書式] qac-tm client refresh go IP_ADDRESS [prompt] [設定値] IP_ADDRESS o all ....... すべてのクライアントPC o IPアドレス ..... 更新するクライアントPCのIPアドレス(xxx.xxx.xxx.xxx(xxx は十進数)) prompt ... コマンド実行後すぐにプロンプトを表示する [説明] クライアントPCのアンチウイルスソフトウェアのウイルスパターンファイル及 びウイルス検索エンジンのバージョン情報の更新を行う。 管理サーバの情報を更新した場合、または、クライアントPCのウイルスパター ンファイル及び検索エンジンのアップデートを行った場合にルータ内の情報を 最新の状態へ更新する。 ○ アンチウイルスソフトウェアの管理サーバの設定(仕様変更) [書式] qac-tm server IP_ADDRESS PORT [protocol=PROTOCOL] no qac-tm server [設定値] IP_ADDRESS ... 管理サーバPCのIPアドレス PORT ... 管理サーバPCへアクセスするポート番号 PROTOCOL ... サーバー情報を取得するときに使用するプロトコル o http ..... httpを使用する o https ..... httpsを使用する [説明] アンチウイルスソフトウェア管理サーバPCのIPアドレスとポート番号を設定す る。 [初期値] PROTOCOL=http [3] 生存通知機能2を追加した。 なお、従来の生存通知機能とは動作上の互換性はない。 http://www.rtpro.yamaha.co.jp/RT/docs/heartbeat/index2.html [4] LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。 ○LANインタフェースのリンクアップ後の送信抑制時間の設定 [書式] lan linkup send-wait-time INTERFACE TIME no lan linkup send-wait-time INTERFACE [TIME] [設定値] INTERFACE - LANインタフェース名 TIME - 送信抑制秒数(0..10) [説明] リンクアップ後の送信抑制時間を設定し、パケットの送信を抑制する。送信を抑 制されたパケットはキューに保存され、リンクアップから設定秒数の経過後に送 信される。保存先のキュー長はqueue INTERFACE lengthコマンドの設定に従う。 [ノート] リンクアップ直後にGratuitous ARPやIPv6 neighbor solicitation等のパケット がルーターから送信されるが、その送信が早過ぎるために対向機器側で受信でき ない場合は、この抑制時間を適宜設定し送信を遅延させることで対向機器側で受 信できるようになる。 [初期値] 0 (抑制しない) [5] ARPエントリ変更をログに残すことができるようにした。 show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認する ことができる。 ○ARPエントリの変化をログに残すか否かの設定 [書式] ip INTERFACE arp log SWITCH no ip INTERFACE arp log [SWITCH] [設定値] ・SWITCH - on ... 記録する - off ... 記録しない [説明] ARPエントリの変更をログに記録するか否かを設定する。 [初期値] off [6] シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。 ○シリアル番号を使ったホスト名登録コマンドを実行 [書式] netvolante-dns set hostname INTERFACE serial [設定値] INTERFACE ... LANインタフェース名あるいは"pp" [説明] 機器のシリアル番号をホスト名登録するコマンドを発行する。 つまり本コマンドを実行すると、機器のシリアル番号を使ってnetvolante-dns hostname hostコマンドが設定される。 ■仕様変更 [1] DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が 解除されたらそのIPアドレスの現在のリース情報も消去することとした。 これにより、予約対象IPアドレスの再利用がより早くできるようになる。 [2] IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下 のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとする ように変更した。 ただし、IPv6リンクローカルアドレスは重複して設定できる。 ・IPアドレスの設定 - ip INTERFACE address - ip pp address - ip tunnel address - ip loopback address ・IPv6アドレスの設定 - ipv6 INTERFACE address - ipv6 pp address - ipv6 tunnel address - ipv6 loopback address ・IPv6プレフィックスの設定 - ipv6 INTERFACE prefix - ipv6 pp prefix - ipv6 tunnel prefix [3] show status lanコマンドにIPアドレスを表示するようにした。 例) # show status lan1 LAN1 説明: IPアドレス: 192.168.1.1/24 IPアドレス(セカンダリ): 192.168.2.1/24 イーサネットアドレス: 00:a0:de:01:23:45 : [4] 外部データベース参照型URLフィルターについて、特定拡張子を持つURLのカテゴリ確 認を行うか否かを設定する機能を、外部データベースとしてデジタルアーツを選択し ても使えるようにした。 [5] GUIの外部データベース参照型URLフィルターのオプション設定に特定拡張子を持つ URLのカテゴリ確認を行うか否かの設定できるようにした。 具体的な設定項目としては以下となる。 ・カテゴリ確認をする/しないで通過させる ・カテゴリ確認をしないURLの拡張子 [6] security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わ せた。 show environmentの表示についても同様に変更した。 ■バグ修正 [1] UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDPチ ェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000は 「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が0x0000 になった場合は0xFFFFに変換しなければならない。 [2] IPv6 RAプロキシ機能を使用しているとき、配下のホストへ通知するRA内のprefix informationの数が時間とともに増えていくバグを修正した。まったく同一のIPv6プ レフィックスの数が増えていくというバグであり、上位ルーターからRAを受信する度 にその数が増えていく可能性があった。 Rev.10.00.44以降で発生する。 [3] IKEキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定 した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。 [4] IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに対 する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われな いバグを修正した。 [5] IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマン ドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正し た。 [6] IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤 検知してトンネルがダウンすることがあるバグを修正した。 [7] XAUTHの内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続後に当該 アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正した。 本来であれば、temporary経路として登録されるのが正しい。 [8] XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/ auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタ セットが、そのトンネル内で有効にならないバグを修正した。 [9] PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を 使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptor address outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信の NAT変換が正しく行われないバグを修正した。 [10] IPマスカレード機能において、内側IPアドレスのホストへパケットが到達不能な場 合などには送信元ホストへICMPエラーを送信するが、このICMPエラーの数に応じて統 計情報のNATエントリー数が増え続けていき、元に戻らなくなるバグを修正した。 [11] DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、 それが経路情報に反映されないことがあるバグを修正した。 [12] TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケット を受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。 [13] 既にSSHでログインしているユーザー名と同じユーザー名でSSH接続をすると、その 後の動作が不安定になり、リブートすることがあったバグを修正した。 [14] QAC/TMでサーバー情報を更新したときに不正なログを出力するバグを修正した。 [15] GUIからポートの開閉状態の診断を実行したとき、診断が実行されたのにも関わらず、 結果表示画面で"実行されていません"等の不当なメッセージが表示されることがある バグを修正した。 この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出 した通過パケット数が多いときに発生しやすい。 [16] ポートの開閉状態の診断の実行中に"Task time exceed"でリブートすることがある バグを修正した。 この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出 した通過パケット数が多いときに発生しやすい。 [17] GUIの[インターフェース]のヘルプページで、「インターフェースの名前」で設定さ れるコマンドが間違っていたバグを修正した。 [18] GUIのウィザードから「フレッツ・グループアクセス/フレッツブループ[LAN型払い 出し]」の設定をした後、ウィザードの修正画面(プロバイダの設定 2/4)を開くと、 [端末型払い出し]と表示されるバグを修正した。 [19] GUIの[IPsec]-[XAUTHのユーザーの設定]のページからXAUTHの設定を変更すると正し く設定されないバグを修正した。 [20] ip policy filter setコマンドを設定している状態で、GUIの[IPsec]ページの「設 定の検証」を実行し、ポリシーフィルターの設定を追加する場合、ip policy filter setコマンドが正しく設定されないことがあるバグを修正した。 "name=" オプションを指定していない場合に発生していた。 [21] GUIの[メール通知]-[通知内容の設定]ページで、送信先メールアドレスの設定に入 力可能な最大文字数(64文字)を登録すると、[メール通知]のメインページと修正用の ページでは63文字分しか表示されないバグを修正した。 GUIの[メール通知]のヘルプページに、送信元/送信先メールアドレスの入力可能な 文字数について追記した。 [22] GUIの[ルーティング]ページで以下の修正をした。 - CUIでNULL/LOOPBACKn/DHCP BRIDGEnインターフェースに対する静的経路を設定し ていた場合 例) ip route 172.16.0.0/24 gateway null ip route 172.16.1.0/24 gateway loopback1 ip route 172.16.2.0/24 gateway dhcp bridge1 - [静的経路の設定]のゲートウェイがTUNNELインターフェースと表示されてしま うバグを修正した。 - 修正ページでも正しく表示、設定できるように修正した。 - [静的経路の設定]の登録ページで、宛先ネットワークに「ネットワークアドレス」 を選択すると、ゲートウェイのセレクトメニューにDHCP LANnインターフェース が表示されないバグを修正した。 DHCP LANnインターフェースに対して静的経路を設定しているときの、[静的経路 の設定]の修正ページでも同様。 例) ip route 172.16.0.0/24 gateway dhcp lan2 - 上記の動作について、ヘルプページに追記した。 - GUIの[インターフェース]ページのヘルプに、NULLインターフェースとLOOPBACK インターフェースとBRIDGEインタフェースに対応していない記述を追記した。 [23] GUIにて、メール通知の設定がある状態でメール通知のページをURL指定で開くとリ ブートするバグを修正した。 [24] ブラウザから以下のURLにアクセスすると、リブートするバグを修正した。 http://(ルーターアドレス)/admin/mail/trigger_change.html http://(ルーターアドレス)/admin/mail/trigger_change_ids.html http://(ルーターアドレス)/admin/statistics/qos_if.html http://(ルーターアドレス)/admin/statistics/resource_type.html [25] 統計情報の以下のページで、ログアウトのリンクが表示されないバグを修正した。 http://(ルーターアドレス)/admin/statistics/qos_if.html http://(ルーターアドレス)/admin/statistics/resource_type.html http://(ルーターアドレス)/admin/statistics/traffic_if.html [26] dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select' キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正 した。 [27] console character/columns/linesコマンドの設定を変更後、restartコマンドを実 行し、設定の変更を保存するか否かの問いに 'Y' を入力して再起動をすると、変更 したはずの設定がconfigに保存されないバグを修正した。 [28] 256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降の パラメータのタブ補完が効かないバグを修正した。 [29] ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えてinまたはoutの 設定が反映されるように変更した。 [30] no upnp port mapping timer コマンドを実行した場合、デフォルト値で動作するは ずが172800で動作しているバグを修正した。 [31] PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、イン タフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。 [32] ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名 の名前解決に失敗し、IPsecの接続ができないバグを修正した。 [33] トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変 更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同 じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。 ・ipsec ike log GATEWAY TYPE コマンド ・ipsec ike keepalive log GATEWAY SW コマンド ・ipsec ike keepalive use GATEWAY SW コマンド ・ipsec ike nat-traversal GATEWAY SW コマンド [34] ip keepaliveコマンドで以下のバグを修正した。 - IPv6アドレスを指定したとき、正しく動作しない - no ip keepaliveコマンドで、ID以降に任意の文字を指定するとエラーになる [35] dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値 を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグを 修正した。 [36] no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、 不正に設定が追加されるバグを修正した。 また、設定されていないスコープ番号を指定した場合、エラーメッセージを出すよう にした。 [37] auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定 すると、任意のIPv4アドレスが設定されてしまうバグを修正した。 [38] auth user attribute/auth user group attributeコマンドの各パラメータが重複指 定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにし た。 [39] auth user group attributeコマンドでメモリリークするバグを修正した。 [40] no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正し た。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。 [41] url filter external-database lookup specified extention listコマンドのコマ ンドヘルプ表示が間違っているバグを修正した。 [42] url filter external-database lookup specified extensionコマンドのコマンドヘ ルプ表示が間違っているバグを修正した。 [43] no tcp logコマンドのコマンドヘルプが表示されないのを修正した。 [44] 以下のコマンドのコマンドヘルプで、パラメータのIDについて説明が表示されない バグを修正した。 - no auth user - no auth user attribute - no auth user group - no auth user group attribute [45] no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述 がないのを修正した。 ■更新履歴 Jul. 2009, Rev.10.00.46 リリース 以上