RTシリーズのセキュリティに関するFAQ

RFCの記述の不整合を起因とするOSPFv2の脆弱性(VU#229804)について

RFCの記述の不整合を起因とするOSPFv2の脆弱性について

RFC2328に記述されているOSPFv2の動作の不整合を起因とする脆弱性が存在することが分かりました。対象となる機種及び対策方法につきましては下記をご確認いただき、必要な場合には対策を行ってください。

脆弱性とその概要

• US-CERT Vulnerability Note VU#229804
• JVNVU#96465452

  OSPFv2は、IPv4での経路情報をルーター間で動的に管理する、動的経路プロトコルです。OSPFv2はRFC2328で、その動作が詳細に規定されています。

  RFC2328では、ルーターが不正なOSPFv2パケットを受け取ったときの動作も記述していますが、その内容に不整合があり、RFCの記述に従って実装したOSPFv2ルーターが悪意のある第三者によって細工されたOSPFv2パケットを受信した場合、ルーティングテーブルを改竄されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性が指摘されています。

  ヤマハネットワーク機器では、該当のOSPFv2パケットを受信した場合には、リブートを含む不安定な動作が発生する可能性があります。

  OSPFv2パケットは、動的管理プロトコルという性格上、ルーターを越えて転送されることはありません。したがって、本脆弱性は、ネットワーク内の同一セグメントからの攻撃は可能ですが、インターネット経由での攻撃が成立する可能性は非常に低いと考えられます。

対象となる機種およびファームウェア

*印は、修理対応期限(生産終了から5年間)が過ぎている機種です。

対策

• ネットワーク機器のファームウェアをリビジョンアップする

  当該脆弱性への対策をしたファームウェアを順次リリースします。

  2018/Nov/06時点でのリリース状況は以下の通りです。

  機種	対策済みファームウェア
  RTX5000	初回出荷から対応済みで本脆弱性を含むファームウェアはリリースされていません
  RTX3500
  RTX3000	Rev.9.00.60以降
  RTX1200	Rev.10.01.53以降
  RTX810	Rev.11.01.19以降
  RT250i	Rev.8.02.53以降
  FWX120	Rev.11.03.05以降
  SRT100	Rev.10.00.61以降
  RT300i	Rev.6.03.40以降
  RTX1500	Rev.8.03.94以降
  RTX1100	Rev.8.03.94以降
  RT107e	Rev.8.03.94以降

  上記以外の機種では、対策ファームウェアのリリース予定はありません。

  
  
• ネットワーク機器の設定を変更し、OSPF認証を使用する

  OSPFでMD5認証を使用するよう設定し、認証が行われていない機器とのOSPFとのやり取りをしないようにします。

  例：バックボーンエリアに所属するインターフェース（LAN1）でMD5認証を使用する

      ospf area backbone auth=md5
      ip lan1 ospf area backbone md5key=123,himitsu
  

  注：OSPF認証の設定をする場合、以下のことに注意してください。

  • 同一エリアに属する全てのOSPFインターフェースで認証を行うよう設定してください。
  • 設定完了後にospf configure refreshコマンドでOSPFを再起動させる必要があります。

関連情報

• ファームウェア配布ページ
• TFTPによるリビジョンアップ

更新履歴

[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]