http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_71.html Revision : 10.01.71 Release : Oct. 2016, ヤマハ株式会社 Rev.10.01.71 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX1200 Rev.10.01.65 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2015-3195 (JPCERT/CC JVNVU#95113540) - CVE-2016-0797 - CVE-2016-0799 - CVE-2016-2108 - CVE-2016-2183 (JPCERT/CC JVNVU#98667810) - CVE-2016-6306 (JPCERT/CC JVNVU#98667810) CVE-2015-3195はIKEv2 の PKI証明書を利用した認証(=「デジタル署名方式」および 「EAP-MD5方式」)を行う場合に該当する。 この脆弱性の影響により、メモリーリークやリブート、ハングアップなどが発生する 可能性がある。 ■機能追加 [1] L2MSで、以下の機器に対応した。 - WLX202 - WLX402 - SWX2300-8G - SWX2300-16G - SWX2300-24G http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - NTTコム UX302NC Ver.1.0.7以降 - IIJ mobile UX312NC v2.00以降 - SoftBank 403ZT http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダウ ンするか否かを設定するコマンドを追加した。 ○NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダ ウンするか否かの設定 [書式] ngn renumbering link-refresh SWITCH no ngn renumbering link-refresh [SWITCH] [設定値及び初期値] SWITCH [設定値] : ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- on リナンバリング発生時、LANインターフェースを一時的にリ ンクダウンする off リナンバリング発生時、取得したプレフィックスに変更がな い場合は、LANインターフェースをリンクダウンしない ----------------------------------------------------------------- [初期値] : on [説明] NGN網を介したリナンバリングが発生した時、LANインターフェースを一時的にリ ンクダウンするか否かを設定する。 LANインターフェースを一時的にリンクダウンさせることにより、DHCPv6-PD/RA プロキシの配下のより多くの端末に対して、IPv4/IPv6アドレスの再取得を促し、 リナンバリング後も通信を継続できるようにする。 このコマンドをonに設定した場合は、NGN網を介したリナンバリングの発生時、取 得したプレフィックスに変更がないときでもLANインターフェースを一時的にリン クダウンする。offに設定した場合は、取得したプレフィックスに変更がないとき はリンクダウンしない。 [4] IKEv2で、CHILD SAの作成方法を変更できるようにした。 ○CHILD SA作成方法の設定 [書式] ipsec ike child-exchange type GATEWAY_ID TYPE no ipsec ike child-exchange type GATEWAY_ID [TYPE] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : - TYPE : IKEv2のCHILD SA作成方法のタイプ [設定値] : ------------------------------------------------------ 設定値 説明 ------------------------------------------------------ 1 ヤマハルーターのIKEv2の従来の動作との互換 性を保持する 2 CREATE_CHILD_SA交換を一部の実装にあわせる ------------------------------------------------------ [初期値] :1 [説明] IKEv2のCHILD SA作成方法を設定する。 このコマンドに対応する機種同士で接続する場合、タイプを同じ設定にして接続 する必要がある。 ■仕様変更 [1] MLD機能で、リンクローカルスコープのグループが格納されたレポートの送受信を行 わないようにデフォルトの動作を変更した。また、従来の動作に戻すために ipv6 INTERFACE mldコマンドにreport-link-local-groupオプションを追加した。 [書式] ipv6 INTERFACE mld TYPE [OPTION ...] ipv6 pp mld TYPE [OPTION ...] ipv6 tunnel mld TYPE [OPTION ...] no ipv6 INTERFACE mld [TYPE [OPTION ...]] no ipv6 pp mld [TYPE [OPTION ...]] no ipv6 tunnel mld [TYPE [OPTION ...]] [設定値及び初期値] INTERFACE [設定値] : LAN インターフェース名 [初期値] : - TYPE : MLD の動作方式 [設定値] : ------------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------------- off MLD は動作しない router MLD ルーターとして動作する host MLD ホストとして動作する ------------------------------------------------------------------- [初期値] : off OPTION : オプション [設定値] : version=VERSION MLD のバージョン --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 1 MLDv1 2 MLDv2 1,2 MLDv1 と MLDv2 の両方に対応する。 (MLDv1 互換モード ) --------------------------------------------------------------- syslog=SWITCH 詳細な情報を syslog に出力するか否か --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 表示する off 表示しない --------------------------------------------------------------- robust-variable=VALUE(1..10) MLD で規定される Robust Variable の値を設定する。 report-link-local-group=SWITCH★ リンクローカルスコープのグループを処理するか否か --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on MLD ルーターとして動作しているとき、リンクローカ ルスコープのグループのレポート受信を有効にする MLD ホストとして動作しているとき、リンクローカル スコープのグループのレポート送信を有効にする off リンクローカルスコープのグループのレポート送受信 を無効にする -------------------------------------------------------------- [初期値] : version=1,2 syslog=off robust-variable=2 report-link-local-group=off★ [説明] インターフェースにおけるMLDの動作を設定します。 [2] OSPFおよびBGPで、インターフェースの状態変化を検知したとき、複数の外部経路の 反映処理をまとめて行うようにした。 ○インターフェースの状態変化時、OSPFに外部経路を反映させる時間間隔の設定 [書式] ospf reric interval TIME no ospf reric interval [TIME] [設定値及び初期値] TIME [設定値] : 秒数 (1以上の数値) [初期値] : 1 [説明] ルーターのインターフェースの状態が変化したとき、OSPFに外部経路を反映させ る時間の間隔を設定する。 OSPFではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外 部経路を自身に反映させるが、インターフェースの状態変化が連続して発生する ときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行わ れるようになる。 [ノート] 複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値 を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を 軽減することができる。 本コマンドの設定値は、BGPへの外部経路の反映にも影響する。本コマンドとbgp reric intervalコマンドの設定値が食い違う場合には、本コマンドが優先して適 用される。 本コマンドの設定は、経路の変化やIPアドレスの変化に対するOSPFやBGPの動作に は関係しない。 ○インターフェースの状態変化時、BGPに外部経路を反映させる時間間隔の設定 [書式] bgp reric interval TIME no bgp reric interval [TIME] [設定値及び初期値] TIME [設定値] : 秒数 (1以上の数値) [初期値] : 1 [説明] ルーターのインターフェースの状態が変化したとき、BGPに外部経路を反映させる 時間の間隔を設定する。 BGPではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外 部経路を自身に反映させるが、インターフェースの状態変化が連続して発生する ときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行わ れるようになる。 [ノート] 複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値 を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を 軽減することができる。 本コマンドの設定値は、OSPFへの外部経路の反映にも影響する。本コマンドの設 定値とospf reric intervalコマンドの設定値が食い違う場合には、ospf reric intervalコマンドの設定値が優先して適用される。 [3] SSHサーバー公開鍵を生成するときに、2048ビットの鍵長を選択できるようにした。 また、セキュリティーの観点からSEEDパラメーターの入力を無視するようにした。 ○SSHサーバーホスト鍵の設定 [書式] sshd host key generate [bit=BIT] ★ no sshd host key generate [...] [設値及び初期値] BIT [設定値] : 鍵のビット長 (1024, 2048) [初期値] : 1024 [説明] SSHサーバーのホスト鍵を設定する。 BITパラメーターによって、生成する鍵のビット数を指定できる。 ★ [ノート] SSHサーバー機能およびSFTPサーバー機能を利用する場合は、事前に本コマンドを 実行してホスト鍵を生成する必要がある。 既にホスト鍵が設定されている状態で本コマンドを実行した場合、ユーザーに対 してホスト鍵を更新するか否かを確認する。 ホスト鍵の生成には、機種によって異なるが、1024ビット鍵では数秒から数分程 度、2048ビットの鍵では数分から十数分程度の時間がかかる。 ★ TFTPで設定を取得した場合は、sshd host key generate [bit=BIT] KEY1 KEY2 KEY3という形式で保存される。 ★ KEY1〜KEY3は、秘密鍵を機器固有の方式で暗号化した文字列である。 [4] SSHサーバー公開鍵の鍵指紋を表示するパラメーターを追加した。 ○SSHサーバー公開鍵の表示 [書式] show sshd public key [fingerprint] ★ [設定値及び初期値] fingerprint ★ [設定値] : 鍵指紋を表示する [初期値] : - [説明] SSHサーバーの公開鍵を表示する。 fingerprintキーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示す る。 ★ [5] clear logコマンドにsavedオプションを追加した。 このオプションを指定することで、show log savedコマンドを実行したときに表示さ れるログをクリアすることができる。 ○ログのクリア [書式] clear log [saved] [設定値及び初期値] saved ★ [設定値] : リブート直前のログをクリアする [初期値] : - [説明] ログをクリアする。 savedを指定することで、show log savedコマンドを実行したときに表示されるロ グをクリアすることができる。★ [6] データコネクト拠点間接続で設定するトンネルインターフェースの帯域幅の設定を細 かく設定できるように変更した。 ○NGN網を介したトンネルインターフェースの帯域幅の設定 [書式] tunnel ngn bandwidth BANDWIDTH [arrivepermit=SWITCH] no tunnel ngn bandwidth [BANDWIDTH arrivepermit=SWITCH] [設定値及び初期値] BANDWIDTH [設定値]:帯域幅(1k - 1000M) [初期値]:1m SWITCH [設定値]: on ... 帯域の設定と一致しない着信も許可する off .. 帯域の設定と一致した着信のみ許可する [初期値]:on [説明] NGN網を介したトンネルインターフェースの帯域幅を設定した値にする。 帯域の設定が一致しない着信について、arrivepermitオプションがoffの場合は着 信せず、onの場合は着信する。 [ノート] 通信中の変更は無効。 [7] TFTPで設定ファイルを書き込むとき、設定ファイルの最終行で末尾に改行コード(LF) が付加されていないコマンドも認識できるようにした。 [8] NGNのリナンバリングで、DEBUGレベルのSYSLOGに出力されていた以下のログを、INFO レベルのSYSLOGに出力するようにした。 - [DHCPv6] Renumbering start インターフェース名 - [DHCPv6] Renumbering success インターフェース名 - [IPv6] Received renumbering signal インターフェース名 - [IPv6] Renumbering start インターフェース名 - [IPv6] Renumbering success インターフェース名 [9] DHCPv6クライアント機能で、サーバーからRECONFIGUREメッセージを受信したときに、 INFOレベルのSYSLOGに以下のログを出力するようにした。 - [DHCPv6] receive RECONFIGURE [10] モバイルインターネット機能で、DEBUGレベルのSYSLOGに表示される以下のログにお いて、プレフィックスの後に "MOBILE :" が表示されるようにした。 プレフィックスの後に "MOBILE :" が表示されるようにしたログ: - [USB_HOST] MOBILE : ERROR : The number of the received datagram was not found. - [USB_HOST] MOBILE : ERROR : Acquisition of the received NDP entry went wrong. [11] ブリッジインターフェースに収容されたLANインターフェースではQoS機能は使用で きない仕様であるため、bridge memberコマンドによってブリッジに収容されたLAN インターフェースに対して、queue typeコマンドでfifo以外を指定した場合、入力 エラーとなるようにした。 また、queue typeコマンドでfifo以外が指定されたLANインターフェースをbridge memberコマンドで指定した場合も同様に入力エラーとなる。 ■バグ修正 [1] 不正なフォーマットのPPPoEパケットを受信したとき、リブートする可能性を排除し た。 [2] L2TPv3を用いたL2VPNで、IEEE802.1Qタグが複数付加されたL2フレームを転送すると CPU使用率が100%になり、その後リブートするバグを修正した。 [3] ipsec transportコマンドで、プロトコルまたは始点ポートリストのパラメーターを 省略して実行したときにリブートするバグを修正した。 Rev.10.01.65で発生する。 [4] 以下のコマンドを追加または削除したとき、リブートすることがあるバグを修正した。 - ipsec transport - ipsec transport template Rev.10.01.65で発生する。 [5] URLフィルター機能で、以下の条件をすべて満たしたときに、リブートしたりブロッ ク画面で表示される「キーワード」の一部が欠けたりすることがあるバグを修正した。 - url filter rejectコマンドでreject(デフォルト値)が設定されている - リダイレクト先のブロック画面のURLが2048Byteを超えている [6] ひかり電話契約ありのNGN回線で、NGNのリナンバリング処理が完了したときにリブー トやハングアップする可能性を排除した。 [7] dhcp scope bind コマンドが設定されているときに dhcp server rfc2131 compliant コマンドを off あるいは use-clientid 機能を使用しない設定にするとリブートす る可能性を排除した。 [8] no nat descriptor masquerade session limitコマンドを実行すると、リブートする 可能性を排除した。 [9] 外部データベース参照型URLフィルターでパケットを解析するとき、リブートする可 能性を排除した。 [10] GUI閲覧時にブラウザの更新を連続して行うと、リブートやハングアップすることが あるバグを修正した。 [11] PPTPで、接続の確立に失敗したときにメモリーリークが発生することがあるバグを 修正した。 [12] 設定の保存に失敗したときメモリーリークすることがあるバグを修正した。 [13] モバイルインターネット機能で、モバイル端末のアタッチ処理中に端末をデタッチ させると、以後の端末のアタッチが正しくできなくなることがあるバグを修正した。 [14] モバイルインターネット機能のWANインターフェース接続において、ネットワークア ドレスが同一のネットワークとの通信ができないバグを修正した。 Rev.10.01.65で発生する。 [15] モバイルインターネット機能で、disconnectコマンドを連続して実行すると、ブザー が複数回鳴動することがあるバグを修正した。 [16] モバイルインターネット機能で、PPインターフェース接続にてdocomo L-03Fを利用 したときに、切断時の切断理由が正しくないことがあるバグを修正した。 [17] モバイルインターネット機能で、show status wan1コマンドで表示される送信パケッ ト数、累積送信パケット数および送信廃棄パケット数が正しくないことがあるバグ を修正した。 [18] モバイルインターネット機能のWANインターフェース接続で、wan1 always-on onコ マンドを設定しているとき、回線の切断状態を検出してもSTATUS LEDが点灯しない バグを修正した。 [19] モバイルインターネット機能で、show status usbhostコマンドで表示される自局番 号やIMEIが不正な値になる可能性を排除した。 [20] モバイルインターネット機能のWANインターフェース接続で、発呼のときに"IP Commencing〜"のログが出力されないことがあるバグを修正した。 [21] IPsecで、以下のすべての条件を満たす場合に、正しい設定であっても接続が確立し ないバグを修正した。 - ipsec ike negotiate-strictlyコマンドがonに設定されている - ipsec ike encryptionコマンドでaes256-cbcが設定されている [22] データコネクト拠点間接続のIPsecトンネルで、着信後にデータ送受信が全くない場 合、tunnel ngn disconnect timeコマンドの設定に関わらず、60秒で切断すること があるバグを修正した。 [23] IKEv2で、ipsec sa deleteコマンドでIKE SAを削除するとき、ipsec ike message-id-controlコマンドがonに設定されていると対向にDelete要求を送信しな いことがあるバグを修正した。 [24] L2TP/IPsecで不正なL2TP制御パケットを受信すると、ANONYMOUSインターフェースが 占有されてしまい、それ以降ANONYMOUSインターフェースが使用できなくなるバグを 修正した。 [25] L2TP/IPsecで、クライアントに対してDNSサーバー情報が通知されず、名前解決を伴 う通信ができないことがあるバグを修正した。 [26] L2TPv3で、トンネルの接続中に以下のコマンドによって接続先が変更された場合に、 再接続に失敗することがあるバグを修正した。 - tunnel endpoint address - tunnel endpoint name [27] L2TPv3で、tunnel endpoint nameコマンドによって接続先のドメイン名(FQDN)が指 定されている場合、接続処理が始動しないことがあるバグを修正した。 [28] OSPFv2で、他のOSPFルーターから受信したタイプ5のLSA(AS-external-LSA)の寿命が 尽きたとき、当該LSAに含まれる外部経路は無効な経路であるにもかかわらず、有効 な経路として扱われることがあるバグを修正した。 [29] PP/LAN バックアップ機能で、バックアップ切り替え時にバックアップ側へのpingが 通らないことがあるバグを修正した。 [30] パケット転送フィルターを使ってwan1インターフェース宛にパケットを転送したと きに、パケットを送信できないバグを修正した。 [31] インターフェースのIPアドレスが設定されたときに、優先度が低い経路については 経路の再検索が行われず、経路情報が不正になるバグを修正した。 [32] ファストパスで、ISDN回線/専用線、PPTPのトンネルまたはモバイルインターネット を介したデータパケットを受信したときに、ファストパスの処理対象ではないにも かかわらずフローが生成されるバグを修正した。 [33] データコネクト拠点間接続において、ファストパスで送信するパケットのUDPヘッダ のチェックサムを計算していなかったバグを修正した。 [34] データコネクト拠点間接続機能で、送信するパケットがファストパスで処理される ときに、パケットの優先度を示すIPv6ヘッダのトラフィッククラスの値が低くなる バグを修正した。 [35] anonymousインターフェースにおいて、mynameオプションを付けてpp auth username コマンドが設定されている場合に同じユーザー名とパスワードを使った複数の接続 を同時に受けることができないバグを修正した。 [36] MLD機能で、MLDv2のMLDルーターとして動作しているとき、ソースリストが空のレポー トを新規に受信すると、プロキシ情報とルーティング情報にマルチキャストグルー プが追加されないバグを修正した。 [37] MLD機能で、MLDルーターのMLDv1,v2の互換モードとして動作しているとき、MLDv1レ ポートを受信してグループ情報を登録し、一定時間そのグループ情報を含むMLDv1レ ポート受信しなかった場合に、そのグループのエントリーがタイムアウトしなくな るバグを修正した。 [38] RTFS領域にファイルアクセスしているときに設定を保存しようとすると、設定の保 存に失敗し、それ以降設定を保存できなくなることがあるバグを修正した。 [39] SFTP接続で、ファイルやディレクトリの情報を表示したときに不正な更新日時が表 示されるバグを修正した。 [40] L2MSで、機器名の長さが64byteを超えるスレーブがスレーブとして認識されないバ グを修正した。 [41] IPv6でPPPoE接続をしているとき、clear status lanコマンドを実行してもshow status lanコマンドで表示されるIPv6の送受信パケット数がクリアされないバグを 修正した。 [42] clear mobile access limitationコマンドで、USBインターフェースを指定して実行 しても、指定したUSBポートをバインドしているWANインターフェースの累積のカウ ンター情報がクリアされず、発信制限が解除されないバグを修正した。 [43] NGNのリナンバリングに関するログの誤記を修正した。 [44] dhcp duplicate checkコマンドで2つめのパラメーターを入力せずに設定しようとし たときに、エラーメッセージが正しくないバグを修正した。 [45] ipv6 INTERFACE mldコマンドで、オプションパラメーターを重複して指定したとき にエラーにならず、またオプションパラメーターを設定可能最大数以上に入力でき てしまうバグを修正した。 [46] tunnel ngn interfaceコマンドで不正なパラメーターが入力できるバグを修正した。 [47] less config switchコマンドによる表示が正しくできないバグを修正した。 [48] show status bgp neighbor advertised-routesコマンドの実行結果で、各パラメー ターの値として不正な値が出力されるバグを修正した。 [49] 以下のコマンドのコマンドヘルプの誤記を修正した。 - show url filter - show url filter external-database - dhcp scope - show status pp - show status qos - clear url filter - clear url filter external-database [50] スイッチ制御GUIからWLX202のIPアドレスの設定をする時、サブネットマスクが空欄 の状態で設定できてしまうバグを修正した。 [51] GUIの[保守]-[HTTPリビジョンアップの設定]で、URL入力欄に235文字以上のURLを入 力して登録を行なうと、メイン画面に戻ったときに、234文字になってしまうバグを 修正した。 -------------------------------------------------------------------------------- ■更新履歴 Oct. 2016, Rev.10.01.71 リリース Nov. 2016, 脆弱性対応[1]にCVE-2016-2183を追記した。 Nov. 2016, 機能追加[1]にL2MSの対応機器としてWLX402を追加した。 Jan. 2017, 仕様変更[1]の誤記を修正した。 以上