OpenSSLの以下の脆弱性対応を行った。
CVE-2015-3195はIKEv2のPKI証明書を利用した認証(=「デジタル署名方式」および「EAP-MD5方式」)を行う場合に該当する。
この脆弱性の影響により、メモリーリークやリブート、ハングアップなどが発生する可能性がある。
L2MSで、以下の機器に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
モバイルインターネット機能で、以下のデータ通信端末に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダウンするか否かを設定するコマンドを追加した。
○NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダウンするか否かの設定
設定値 | 説明 |
---|---|
on | リナンバリング発生時、LANインターフェースを一時的にリンクダウンする |
off | リナンバリング発生時、取得したプレフィックスに変更がない場合は、LANインターフェースをリンクダウンしない |
NGN網を介したリナンバリングが発生した時、LANインターフェースを一時的にリンクダウンするか否かを設定する。
LANインターフェースを一時的にリンクダウンさせることにより、DHCPv6-PD/RAプロキシの配下のより多くの端末に対して、IPv4/IPv6アドレスの再取得を促し、リナンバリング後も通信を継続できるようにする。
このコマンドをonに設定した場合は、NGN網を介したリナンバリングの発生時、取得したプレフィックスに変更がないときでもLANインターフェースを一時的にリンクダウンする。offに設定した場合は、取得したプレフィックスに変更がないときはリンクダウンしない。
IKEv2で、CHILD SAの作成方法を変更できるようにした。
○CHILD SA作成方法の設定
設定値 | 説明 |
---|---|
1 | ヤマハルーターのIKEv2の従来の動作との互換性を保持する |
2 | CREATE_CHILD_SA交換を一部の実装にあわせる |
MLD機能で、リンクローカルスコープのグループが格納されたレポートの送受信を行わないようにデフォルトの動作を変更した。また、従来の動作に戻すためにipv6 interface mldコマンドにreport-link-local-groupオプションを追加した。
○MLDの動作の設定
設定値 | 説明 |
---|---|
off | MLD は動作しない |
router | MLD ルーターとして動作する |
host | MLD ホストとして動作する |
設定値 | 説明 |
---|---|
1 | MLDv1 |
2 | MLDv2 |
1,2 | MLDv1 と MLDv2 の両方に対応する。(MLDv1 互換モード ) |
設定値 | 説明 |
---|---|
on | 表示する |
off | 表示しない |
設定値 | 説明 |
---|---|
on | MLD ルーターとして動作しているとき、リンクローカルスコープのグループのレポート受信を有効にする MLD ホストとして動作しているとき、リンクローカルスコープのグループのレポート送信を有効にする |
off | リンクローカルスコープのグループのレポート送受信を無効にする |
OSPFおよびBGPで、インターフェースの状態変化を検知したとき、複数の外部経路の反映処理をまとめて行うようにした。
○インターフェースの状態変化時、OSPFに外部経路を反映させる時間間隔の設定
ルーターのインターフェースの状態が変化したとき、OSPFに外部経路を反映させる時間の間隔を設定する。
OSPFではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外部経路を自身に反映させるが、インターフェースの状態変化が連続して発生するときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行われるようになる。
複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を軽減することができる。
本コマンドの設定値は、BGPへの外部経路の反映にも影響する。本コマンドとbgp reric intervalコマンドの設定値が食い違う場合には、本コマンドが優先して適用される。
本コマンドの設定は、経路の変化やIPアドレスの変化に対するOSPFやBGPの動作には関係しない。
○インターフェースの状態変化時、BGPに外部経路を反映させる時間間隔の設定
ルーターのインターフェースの状態が変化したとき、BGPに外部経路を反映させる時間の間隔を設定する。
BGPではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外部経路を自身に反映させるが、インターフェースの状態変化が連続して発生するときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行われるようになる。
複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を軽減することができる。
本コマンドの設定値は、OSPFへの外部経路の反映にも影響する。本コマンドの設定値とospf reric intervalコマンドの設定値が食い違う場合には、ospf reric intervalコマンドの設定値が優先して適用される。
SSHサーバー公開鍵を生成するときに、2048ビットの鍵長を選択できるようにした。また、セキュリティーの観点からseedパラメーターの入力を無視するようにした。
○SSH サーバーホスト鍵の設定
SSHサーバーのホスト鍵を設定する。
bitパラメーターによって、生成する鍵のビット数を指定できる。 ★
SSHサーバー機能およびSFTPサーバー機能を利用する場合は、事前に本コマンドを実行してホスト鍵を生成する必要がある。
既にホスト鍵が設定されている状態で本コマンドを実行した場合、ユーザーに対してホスト鍵を更新するか否かを確認する。
ホスト鍵の生成には、機種によって異なるが、1024ビット鍵では数秒から数分程度、2048ビットの鍵では数分から十数分程度の時間がかかる。 ★
TFTPで設定を取得した場合は、sshd host key generate [bit=bit] key1 key2 key3という形式で保存される。 ★
key1〜key3は、秘密鍵を機器固有の方式で暗号化した文字列である。
SSHサーバー公開鍵の鍵指紋を表示するパラメーターを追加した。
○SSHサーバー公開鍵の表示
SSH サーバーの公開鍵を表示する。
fingerprint キーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示する。 ★
clear logコマンドにsavedオプションを追加した。
このオプションを指定することで、show log savedコマンドを実行したときに表示されるログをクリアすることができる。
○ログのクリア
ログをクリアする。
savedを指定することで、show log savedコマンドを実行したときに表示されるログをクリアすることができる。★
データコネクト拠点間接続で設定するトンネルインターフェースの帯域幅の設定を細かく設定できるように変更した。
○NGN網を介したトンネルインターフェースの帯域幅の設定
設定値 | 説明 |
---|---|
on | 帯域の設定と一致しない着信も許可する |
off | 帯域の設定と一致した着信のみ許可する |
NGN網を介したトンネルインターフェースの帯域幅を設定した値にする。
帯域の設定が一致しない着信について、arrivepermitオプションがoffの場合は着信せず、onの場合は着信する。
TFTPで設定ファイルを書き込むとき、設定ファイルの最終行で末尾に改行コード(LF)が付加されていないコマンドも認識できるようにした。
NGNのリナンバリングで、DEBUGレベルのSYSLOGに出力されていた以下のログを、INFOレベルのSYSLOGに出力するようにした。
DHCPv6クライアント機能で、サーバーからRECONFIGUREメッセージを受信したときに、INFOレベルのSYSLOGに以下のログを出力するようにした。
モバイルインターネット機能で、DEBUGレベルのSYSLOGに表示される以下のログにおいて、プレフィックスの後に "MOBILE :" が表示されるようにした。
ブリッジインターフェースに収容されたLANインターフェースではQoS機能は使用できない仕様であるため、bridge memberコマンドによってブリッジに収容されたLANインターフェースに対して、queue typeコマンドでfifo以外を指定した場合、入力エラーとなるようにした。
また、queue typeコマンドでfifo以外が指定されたLANインターフェースをbridge memberコマンドで指定した場合も同様に入力エラーとなる。
不正なフォーマットのPPPoEパケットを受信したとき、リブートする可能性を排除した。
L2TPv3を用いたL2VPNで、IEEE802.1Qタグが複数付加されたL2フレームを転送するとCPU使用率が100%になり、その後リブートするバグを修正した。
ipsec transportコマンドで、プロトコルまたは始点ポートリストのパラメーターを省略して実行したときにリブートするバグを修正した。
Rev.10.01.65で発生する。
以下のコマンドを追加または削除したとき、リブートすることがあるバグを修正した。
Rev.10.01.65で発生する。
URLフィルター機能で、以下の条件をすべて満たしたときに、リブートしたりブロック画面で表示される「キーワード」の一部が欠けたりすることがあるバグを修正した。
ひかり電話契約ありのNGN回線で、NGNのリナンバリング処理が完了したときにリブートやハングアップする可能性を排除した。
dhcp scope bind コマンドが設定されているときに dhcp server rfc2131 compliantコマンドを off あるいは use-clientid 機能を使用しない設定にするとリブートする可能性を排除した。
no nat descriptor masquerade session limitコマンドを実行すると、リブートする可能性を排除した。
外部データベース参照型URLフィルターでパケットを解析するとき、リブートする可能性を排除した。
GUI閲覧時にブラウザの更新を連続して行うと、リブートやハングアップすることがあるバグを修正した。
PPTPで、接続の確立に失敗したときにメモリーリークが発生することがあるバグを修正した。
設定の保存に失敗したときメモリーリークすることがあるバグを修正した。
モバイルインターネット機能で、モバイル端末のアタッチ処理中に端末をデタッチさせると、以後の端末のアタッチが正しくできなくなることがあるバグを修正した。
モバイルインターネット機能のWANインターフェース接続において、ネットワークアドレスが同一のネットワークとの通信ができないバグを修正した。
Rev.10.01.65で発生する。
モバイルインターネット機能で、disconnectコマンドを連続して実行すると、ブザーが複数回鳴動することがあるバグを修正した。
モバイルインターネット機能で、PPインターフェース接続にてdocomo L-03Fを利用したときに、切断時の切断理由が正しくないことがあるバグを修正した。
モバイルインターネット機能で、show status wan1コマンドで表示される送信パケット数、累積送信パケット数および送信廃棄パケット数が正しくないことがあるバグを修正した。
モバイルインターネット機能のWANインターフェース接続で、wan1 always-on onコマンドを設定しているとき、回線の切断状態を検出してもSTATUS LEDが点灯しないバグを修正した。
モバイルインターネット機能で、show status usbhostコマンドで表示される自局番号やIMEIが不正な値になる可能性を排除した。
モバイルインターネット機能のWANインターフェース接続で、発呼のときに"IP Commencing〜"のログが出力されないことがあるバグを修正した。
IPsecで、以下のすべての条件を満たす場合に、正しい設定であっても接続が確立しないバグを修正した。
データコネクト拠点間接続のIPsecトンネルで、着信後にデータ送受信が全くない場合、tunnel ngn disconnect timeコマンドの設定に関わらず、60秒で切断してしまうことがあるバグを修正した。
IKEv2で、ipsec sa deleteコマンドでIKE SAを削除するとき、ipsec ike message-id-controlコマンドがonに設定されていると対向にDelete要求を送信しないことがあるバグを修正した。
L2TP/IPsecで不正なL2TP制御パケットを受信すると、ANONYMOUSインターフェースが占有されてしまい、それ以降ANONYMOUSインターフェースが使用できなくなるバグを修正した。
L2TP/IPsecで、クライアントに対してDNSサーバー情報が通知されず、名前解決を伴う通信ができないことがあるバグを修正した。
L2TPv3で、トンネルの接続中に以下のコマンドによって接続先が変更された場合に、再接続に失敗することがあるバグを修正した。
L2TPv3で、tunnel endpoint nameコマンドによって接続先のドメイン名(FQDN)が指定されている場合、接続処理が始動しないことがあるバグを修正した。
OSPFv2で、他のOSPFルーターから受信したタイプ5のLSA(AS-external-LSA)の寿命が尽きたとき、当該LSAに含まれる外部経路は無効な経路であるにもかかわらず、有効な経路として扱われることがあるバグを修正した。
PP/LAN バックアップ機能で、バックアップ切り替え時にバックアップ側へのpingが通らないことがあるバグを修正した。
パケット転送フィルターを使ってwan1インターフェース宛にパケットを転送したときに、パケットを送信できないバグを修正した。
インターフェースのIPアドレスが設定されたときに、優先度が低い経路については経路の再検索が行われず、経路情報が不正になるバグを修正した。
ファストパスで、ISDN回線/専用線、PPTPのトンネルまたはモバイルインターネットを介したデータパケットを受信したときに、ファストパスの処理対象ではないにもかかわらずフローが生成されるバグを修正した。
データコネクト拠点間接続において、ファストパスで送信するパケットのUDPヘッダのチェックサムを計算していなかったバグを修正した。
データコネクト拠点間接続機能で、送信するパケットがファストパスで処理されるときに、パケットの優先度を示すIPv6ヘッダのトラフィッククラスの値が低くなるバグを修正した。
anonymousインターフェースにおいて、mynameオプションを付けてpp auth usernameコマンドが設定されている場合に同じユーザー名とパスワードを使った複数の接続を同時に受けることができないバグを修正した。
MLD機能で、MLDv2のMLDルーターとして動作しているとき、ソースリストが空のレポートを新規に受信すると、プロキシ情報とルーティング情報にマルチキャストグループが追加されないバグを修正した。
MLD機能で、MLDルーターのMLDv1,v2の互換モードとして動作しているとき、MLDv1レポートを受信してグループ情報を登録し、一定時間そのグループ情報を含むMLDv1レポート受信しなかった場合に、そのグループのエントリーがタイムアウトしなくなるバグを修正した。
RTFS領域にファイルアクセスしているときに設定を保存しようとすると、設定の保存に失敗し、それ以降設定を保存できなくなることがあるバグを修正した。
SFTP接続で、ファイルやディレクトリの情報を表示したときに不正な更新日時が表示されるバグを修正した。
L2MSで、機器名の長さが64byteを超えるスレーブがスレーブとして認識されないバグを修正した。
IPv6でPPPoE接続をしているとき、clear status lanコマンドを実行してもshow status lanコマンドで表示されるIPv6の送受信パケット数がクリアされないバグを修正した。
clear mobile access limitationコマンドで、USBインターフェースを指定して実行しても、指定したUSBポートをバインドしているWANインターフェースの累積のカウンター情報がクリアされず、発信制限が解除されないバグを修正した。
NGNのリナンバリングに関するログの誤記を修正した。
dhcp duplicate checkコマンドで2つめのパラメーターを入力せずに設定しようとしたときに、エラーメッセージが正しくないバグを修正した。
ipv6 INTERFACE mldコマンドで、オプションパラメーターを重複して指定したときにエラーにならず、またオプションパラメーターを設定可能最大数以上に入力できてしまうバグを修正した。
tunnel ngn interfaceコマンドで不正なパラメーターが入力できるバグを修正した。
less config switchコマンドによる表示が正しくできないバグを修正した。
show status bgp neighbor advertised-routesコマンドの実行結果で、各パラメーターの値として不正な値が出力されるバグを修正した。
以下のコマンドのコマンドヘルプの誤記を修正した。
スイッチ制御GUIからWLX202のIPアドレスの設定をする時、サブネットマスクが空欄の状態で設定できてしまうバグを修正した。
GUIの[保守]-[HTTPリビジョンアップの設定]で、URL入力欄に235文字以上のURLを入力して登録を行なうと、メイン画面に戻ったときに、234文字になってしまうバグを修正した。