TCPの実装におけるサービス運用妨害(DoS)の脆弱性について対応した。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU943657.html
TCPのセッション数を制限する機能を追加した。
○ルーターが端点となるTCPのセッション数の設定
カスタムGUIを追加した。
http://www.rtpro.yamaha.co.jp/RT/docs/custom-gui/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
ヤマハルーター用ファイルシステムRTFSを追加した。
http://www.rtpro.yamaha.co.jp/RT/docs/rtfs/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
Luaスクリプト機能を追加した。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
生存通知2機能を追加した。
IPsec機能で、相手先がPPインタフェースの先にある場合、IKEキープアライブのダウンに連動してPPインタフェースの切断を行うことができるようにした。
網側の状態などでPPインタフェースの再接続によりトンネル確立状態の改善を望める場合に利用することができる。
ipsec ike keepalive useコマンドでdown=disconnectオプションを追加する。キープアライブダウン検出時とIKEの再送回数満了時にPPインタフェースの切断を行う。
○IKEキープアライブ機能の設定
NTPパケットの始点IPアドレスを設定できるコマンドを新設した。
○NTPパケットを送信するときの始点IPアドレスの設定
tracerouteコマンドで、始点IPアドレスを設定できるようにした。
○traceroute
HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、またはホスト名 |
noresolv ... DNSによる解決を行わないことを示すキーワード |
SOURCE ..... 始点IPアドレス |
ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。
OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。
○ネットワーク監視機能の設定
NUM ........... このコマンドの識別番号(1..100) | ||||||||||||||||||||||||||||||||||
KIND .......... 監視方式
|
||||||||||||||||||||||||||||||||||
INTERVAL ...... キープアライブの送信間隔秒数(1..65535) | ||||||||||||||||||||||||||||||||||
COUNT ......... 到達性がないと判断するまでに送信する回数(3..100) | ||||||||||||||||||||||||||||||||||
GATEWAY
|
||||||||||||||||||||||||||||||||||
OPTION=VALUE列
|
デジタルアーツの外部データベース参照型URLフィルタについて、特定拡張子を持つURLのカテゴリ確認を行うか否かを設定する機能を追加した。
http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/specified_extension.html
GUIからウィザード形式で設定ができるようにした。
ルーターの初期設定(時刻やパスワード、LAN1アドレスなど)やプロバイダ設定(PPPoE、CATV型、ISDN、専用線、モバイルなど)
GUIからDNSサーバーの設定をできるようにした。
モバイルインターネット機能に、電波受信レベル一定期間取得表示機能を実装した。
mobile signal-strengthコマンドのintervalオプションを拡張し、受信レベルの取得回数を指定できるようにした。
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/signal-strength.html
INTERVAL=offを指定した場合には、COUNTを設定することはできない。これ以外の場合に、COUNTの指定を省略した場合には、回数は無制限(infinity)となる。
モバイルインターネット機能で、累積通信時間を分単位にカウントできるようにした。
分単位に切り上げて累積接続時間を算出する。b-mobile 3Gを利用する際に利用できる。
ただし、mobile access limit durationで監視期間を設定している場合には、秒単位でのみの監視となる。
mobile access limit time TIMEコマンドに unit=UNIT を追加した。
○期間累積パケット通信時間制限の設定
|
ALERT ...... 警告値、秒数あるいは[%]指定 |
ALERT_CANCEL ...... 警告解除値、秒数あるいは[%]指定 |
UNIT ...... 単位、second又はminute |
モバイルインターネット機能において、以下の機種に対応した。
schedule at コマンドの時刻設定で秒を指定できるようにした。
○スケジュールの設定
ID ... スケジュール番号 |
|
|
|
TUNNEL_NUM ... トンネルインタフェースの番号 |
COMMAND ... 実行するコマンド (制限あり) |
スイッチングハブのMACアドレステーブルの中から特定のMACアドレスを検索できる機能を追加した。特定のホストがどのポートに接続されているかを調べることができる。
下記コマンドでMACアドレスを指定する。
○スイッチングハブMAC アドレステーブルの表示
・INTERFACE ..... LANインタフェース名 |
・PORT .......... ポート番号 |
・MAC_ADDRESS .... MACアドレス |
以下の動作ログにLAN1スイッチングハブの受信ポート番号を表示するようにした。
下記の出力情報に、スイッチングハブのポート番号も表示するようにした。
ただしLAN分割機能やタグVLAN機能を利用しているときには表示しない。
[DHCPD] LAN1(port3) Allocates 192.168.100.100: 00:a0:de:12:34:56
LAN1(port3) Passed at IN(1) filter: 00:a0:de:12:34:56 > ff:ff:ff:ff:ff:ff IP
# show arp カウント数: 1 インタフェース IPアドレス MACアドレス TTL(秒) LAN1(port3) 192.168.100.100 00:a0:de:12:34:56 1100
ARP: LAN1(port3) add 192.168.100.100 00:a0:de:12:34:56
以下の操作により、内蔵フラッシュROMや外部メモリに保存している最中に電源スイッチをSTANDBYにしたときは、保存処理を終了してから電源を落とすようにした。
この変更前は、保存処理中に電源が落ちてしまうため、その後、RTが起動できなくなることがあった。
今後は、このような誤操作等によりRTが起動できなくなるトラブルを防ぐことができる。
show status boot allコマンドを実行したとき、それぞれのBoot情報の先頭に起動した日時を表示するようにした。
PPP接続の認証で、CHAP Response送信のタイムアウト時にLCPを切断するようにした。
Rev.7系以前のファームウェアでは送信タイムアウト時に切断している。
DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が解除されたらそのIPアドレスの現在のリース情報も消去することとした。
これにより、予約対象IPアドレスの再利用がより早くできるようになる。
http uploadコマンドで、アップロード先のディレクトリ名、ファイル名に以下を指定できるようにした。
%y ... 年(yyyy) |
%m ... 月(mm) |
%d ... 日(dd) |
%H ... 時(hh) |
%M ... 分(mm) |
%S ... 秒(ss) |
%n ... シリアル番号 |
%a ... LAN1のMACアドレス(00a0deXXXXXX) |
%P ... 機種名 |
例) | http upload config %P/%n/%a/%y%m%d/%H%M%S.txt アップロード先では 「(機種名)/(シリアル番号)/00a0deXXXXXX/20090601/130000.txt」 というディレクトリとファイルが生成される |
ディレクトリ、ファイル名に'%'を含む文字列を指定する場合は、'%'を続けて指定する。
例) http upload config %%config.txt
アップロード先には「%config.txt」というファイルが生成される
Internet Explorer 8を使用してGUIから管理者パスワードの設定を変更したとき、ブラウザを再起動させるための注意文を表示させるようにした。
Internet Explorer 8以外のブラウザを使用した場合は、従来の動作と変わらない。
GUIの「ハードウェア->時刻の設定」および「ウィザード->日付と時刻の設定」でNTPサーバへの問い合わせ時刻に秒を指定できるようにした。
GUIのIPsecの新規登録、または修正ページで、descriptionコマンドが設定されていないプロバイダ設定でも、「自分のIPアドレス」の「自動的に取得する」で選択できるようにした。
ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えてinまたはoutの設定が反映されるように変更した。
電波の受信レベル取得機能で、L-02Aのレベル取得範囲を変更した。
L-02Aにおいて、電波の受信レベル取得を32段階で行うと、正しい値を取得できない場合があったため、4段階でのレベル取得を行うように変更した。
電波の受信レベル取得機能で、dBm値を表示するようにした。
現在対応済みのモバイル端末において、電波の受信レベルをdBm値で取得できる端末は、dBm値で表示するようにした。
EMOBILE | D01HW, D02HW, D21HW, D22HW, D23HW |
IIJ | A2502, 110FU |
b-mobile | BM-DL3-150H, BM-DC1-500M, MF626-BKIC, MF636-BKIC |
SoftBank | C01SW |
WILLCOM | HX003ZT |
docomo | A2502 |
docomo | N905i, L-02A, L-05A |
EMOBILE | D11LC, D12LC |
SoftBank | C01LC |
WILLCOM | HX001IN |
なお、Level値からdBm値への変換テーブルを入手することができた端末は、dBm値で表示するように更新する。
IPsec IPv4 over IPv6 tunnelの通信がファストパスで処理されず、スループットが低下するバグを修正した。
Rev.10.01.11以降のファームウェア発生する。
PPのanonymous接続においてpp auth usernameコマンドで相手に割り当てるIPアドレスが設定してあっても、ip routeコマンドでPAP/CHAPの名前を使って同じ相手に対する静的経路が設定してあると、2番目以降に接続した相手に対してはpp auth usernameコマンドの設定どおりのIPアドレスが割り当てられないバグを修正した。
pp auth acceptコマンドに対応していない認証方式を設定した場合、PPPのConfNakパケットのデータの一部が不正な値になるバグを修正した。
タグVLANが設定されているインタフェースからIPv6マルチキャストパケットを送信する場合、IEEE802.1Qタグがつかないバグを修正した。
DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、それが経路情報に反映されないことがあるバグを修正した。
PPインタフェースに適用するNATの外側アドレスとして固定IPアドレスを設定した場合、PPPのIPCPネゴシエーションで得たIPアドレスを自アドレスとして扱っていた。例えばLAN側からのpingに応答していた。
これを、NATの外側アドレスの設定に関わらず、IPCPで得られたアドレスは自アドレスとして扱わないようにした。
Rev.10.01.11以降のファームウェア発生する。
XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタセットが、そのトンネル内で有効にならないバグを修正した。
XAUTH認証機能の内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続後に当該アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正した。
本来であれば、temporary経路として登録されるのが正しい。
LAN経由のキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。
IKEキープアライブ、およびLAN経由のキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われないバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマンドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤検知してトンネルがダウンすることがあるバグを修正した。
TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケットを受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。
モバイル端末を抜いた状態で connect 1コマンドによる接続要求を行うと接続処理が行われてしまうバグを修正した。
モバイル端末のエラーによってUSB BUS RESETが発生すると、端末の再アタッチに失敗することがあるバグを修正した。
モバイルインターネット機能において、usbhost use offの状態で connect 1コマンドによる接続要求を行うと接続処理が行われてしまうバグを修正した。
モバイルインターネット機能で、回線の接続に失敗したときにはUSB端末のリセットを行うが、その必要がない場合でもリセットを行うバグを修正した。
モバイルインターネット機能で、[CONNECT]のログが出た後にPPP/IPCPの接続に失敗して切断したとき、機種によっては直後に再発信が可能な場合があるバグを修正した。
モバイルインターネット機能で、USBデータ端末を接続した後にmicroSDカードを挿入すると、その直後のモバイルインターネット接続に失敗することがあるバグを修正した。
電波状態をボタンで確認した後、ボタン下のLEDが消えないバグを修正した。
GUIの「インターフェース(メインページ)」ページからインターフェースの設定を行い、子ウィンドウを閉じると、情報を再送信する旨の警告メッセージが表示されることがあるバグを修正した。
GUIの[ルーティング]ページで以下の修正をした。
例) | ip route 172.16.0.0/24 gateway null |
ip route 172.16.1.0/24 gateway loopback1 | |
ip route 172.16.2.0/24 gateway dhcp bridge1 (SRT100のみ) |
GUIの[インターフェース]ページのヘルプに、NULLインターフェースとLOOPBACKインターフェースに対応していない記述を追記した。
GUIの[IPsec]-[XAUTHのユーザーの設定]のページで、以下のバグを修正した。
GUIの[IPsec]ページの「設定の検証」を実行すると、メモリの不正アクセスをしてリブートすることがあったバグを修正した。
GUIの[メール通知]-[通知内容の設定]ページで、送信先メールアドレスの設定に入力可能な最大文字数(64文字)を登録すると、[メール通知]のメインページと修正用のページでは63文字分しか表示されないバグを修正した。
GUIの[メール通知]のヘルプページに、送信元/送信先メールアドレスの入力可能な文字数について追記した。
GUIからポートの開閉状態の診断を実行したとき、診断が実行されたのにも関わらず、結果表示画面で"実行されていません"等の不当なメッセージが表示されることがあるバグを修正した。
この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。
ポートの開閉状態の診断の実行中に"Task time exceed"でリブートすることがあるバグを修正した。
この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。
ブラウザで以下のURLにアクセスすると白紙のページが表示されるバグを修正した。
http://(LANアドレス)/admin/mail/trigger_change_qactm.html
GUIから以下のコマンドを設定できるようにした。
GUI URLフィルターのヘルプページのIPアドレスの指定方法についての誤記を修正した。
GUIの[インターフェース]のヘルプページで、「インターフェースの名前」で設定されるコマンドが間違っていたバグを修正した。
login userを削除しても、削除したユーザに対するuser attributeの設定が残っていると、そのユーザ名でGUIにログインできるバグを修正した。
saveコマンドを含んだconfigをTFTPでPUTした後、任意のインタフェースからsaveコマンドを実行すると、そのインタフェースがハングアップしてしまうことがあったバグを修正した。
以下の機能により生成したファイルでは、console columnsコマンドの設定を反映させないようにし、行の途中で改行させないようにした。
256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降のパラメータのタブ補完が効かないバグを修正した。
less config listコマンドを実行してもless表示されないバグを修正した。
連続して同じログを出力することでログバッファに重複したログが存在していた場合、show logコマンドで実行エラーになると、ログに"same message repeated N times"というログが出力されるバグを修正した。
dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select'キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正した。
シリアルコンソールやTELNETクライアントなどを併用して、複数のコマンド入力画面から同時にshow techinfoコマンドを実行すると、出力結果が乱れたり、リブートすることがあるバグを修正した。
timezoneコマンドの設定を変更すると、show environmentコマンドで表示される「起動時刻」が更新されず、「起動からの経過時間」も不正な値になってしまうバグを修正した。
no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、不正に設定が追加されるバグを修正した。
また、設定されていないスコープ番号を指定した場合、エラーメッセージを出力するようにした。
dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグを修正した。
ip keepaliveコマンドで以下のバグを修正した。
ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名の名前解決に失敗し、IPsecの接続ができないバグを修正した。
tunnel templateコマンドでトンネルインタフェースを追加しても、再起動をしないと
が有効にならないバグを修正した。
トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。
no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正した。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。
no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述がないバグを修正した。
auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定すると、任意のIPv4アドレスが設定されてしまうバグを修正した。
auth user attribute/auth user group attributeコマンドの各パラメータが重複指定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにした。
auth user group attributeコマンドでメモリリークするバグを修正した。
sshd encrypt algorithmコマンドで、パラメータを重複して指定してもエラーにならないバグを修正した。
syslog debug onを設定せずに、外部メモリパフォーマンステストを実行すると、必ずNGとなってしまうバグを修正した。
show status switching-hub macaddressコマンドで、インタフェースとMACアドレスのみを指定してコマンドを実行するとエラーになるバグを修正した。
heartbeat receiveコマンドのオンラインヘルプのデフォルト値がアルファベット大文字で表示されるバグを修正した。
no tcp logコマンドのコマンドヘルプが表示されないバグを修正した。
以下のコマンドのコマンドヘルプで、IDの説明が表示されないバグを修正した。
ip INTERFACE arp logのオンラインヘルプを修正した。
restartコマンドのコマンドヘルプの誤記を修正した。
url INTERFACE filterコマンドのコマンドヘルプの誤記を修正した。
no user attributeコマンドのオンラインヘルプに省略可能なパラメータであるユーザ名の記述がないバグを修正した。
mobile access limit lengthコマンドの初期値に誤りがあったのを修正した。