RTシリーズのセキュリティに関するFAQ
RFCの記述の不整合を起因とするOSPFv2の脆弱性(VU#229804)について
最終変更日 | 2018/Nov/06 |
文書サイズ | 7.5K |
RFCの記述の不整合を起因とするOSPFv2の脆弱性について
RFC2328に記述されているOSPFv2の動作の不整合を起因とする脆弱性が存在することが分かりました。対象となる機種及び対策方法につきましては下記をご確認いただき、必要な場合には対策を行ってください。
OSPFv2は、IPv4での経路情報をルーター間で動的に管理する、動的経路プロトコルです。OSPFv2はRFC2328で、その動作が詳細に規定されています。
RFC2328では、ルーターが不正なOSPFv2パケットを受け取ったときの動作も記述していますが、その内容に不整合があり、RFCの記述に従って実装したOSPFv2ルーターが悪意のある第三者によって細工されたOSPFv2パケットを受信した場合、ルーティングテーブルを改竄されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性が指摘されています。
ヤマハネットワーク機器では、該当のOSPFv2パケットを受信した場合には、リブートを含む不安定な動作が発生する可能性があります。
OSPFv2パケットは、動的管理プロトコルという性格上、ルーターを越えて転送されることはありません。したがって、本脆弱性は、ネットワーク内の同一セグメントからの攻撃は可能ですが、インターネット経由での攻撃が成立する可能性は非常に低いと考えられます。
機種 | リビジョン |
RTX3000 | すべてのリビジョン |
RTX1200 | |
RTX810 | |
RT250i | |
FWX120 | |
SRT100 | |
RT300i | Rev.6.00.15以降 |
RTX1100, RTX1500, RT107e | すべてのリビジョン |
RTX1000*, RTX2000* | |
RT105シリーズ* | |
RT140シリーズ* |
*印は、修理対応期限(生産終了から5年間)が過ぎている機種です。
当該脆弱性への対策をしたファームウェアを順次リリースします。
2018/Nov/06時点でのリリース状況は以下の通りです。
機種 | 対策済みファームウェア |
RTX5000 | 初回出荷から対応済みで本脆弱性を含むファームウェアはリリースされていません |
RTX3500 | |
RTX3000 | Rev.9.00.60以降 |
RTX1200 | Rev.10.01.53以降 |
RTX810 | Rev.11.01.19以降 |
RT250i | Rev.8.02.53以降 |
FWX120 | Rev.11.03.05以降 |
SRT100 | Rev.10.00.61以降 |
RT300i | Rev.6.03.40以降 |
RTX1500 | Rev.8.03.94以降 |
RTX1100 | Rev.8.03.94以降 |
RT107e | Rev.8.03.94以降 |
上記以外の機種では、対策ファームウェアのリリース予定はありません。
OSPFでMD5認証を使用するよう設定し、認証が行われていない機器とのOSPFとのやり取りをしないようにします。
例:バックボーンエリアに所属するインターフェース(LAN1)でMD5認証を使用する
ospf area backbone auth=md5 ip lan1 ospf area backbone md5key=123,himitsu
注:OSPF認証の設定をする場合、以下のことに注意してください。
2013/08/02 : | 公開 |
2013/09/10 : | RTX1200の対策済みファームウェアを「Rev.10.01.53以降」に更新 |
2013/10/17 : | SRT100の対策済みファームウェアを「Rev.10.00.61以降」に更新 |
2013/12/18 : | FWX120の対策済みファームウェアを「Rev.11.03.05以降」に更新 |
RTX3000の対策済みファームウェアを「Rev.9.00.60以降」に更新 | |
RTX1100/RTX1500/RT107eの対策済みファームウェアを「Rev.8.03.94以降」に更新 | |
RT250iの対策済みファームウェアを「Rev.8.02.53以降」に更新 | |
RT300iの対策済みファームウェアを「Rev.6.03.40以降」に更新 |
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]