SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下の機能追加を行った。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html
sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定できるようにした。
○SSHサーバで利用可能な暗号アルゴリズムの設定
ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能) |
|
対象機種:RTX1100, RTX1500, RT107e
IPsecで、OpenswanをVPNクライアントとしてXAUTHで相互接続できるようにした。
OpenswanとヤマハルータをIPsecで相互接続しようとした場合、XAUTHを使わなければそのまま接続できるが、XAUTHを使用する場合には、Mode-Cfgの仕様の解釈の違いでうまく接続できない。そのため、ヤマハルータの側で、Openswanに接続できるよう動作を変更するコマンドを新設した。
○IKE XAUTH Mode-Cfgメソッドの設定
GATEWAY_ID | ... | セキュリティゲートウェイの識別子 |
METHOD | ... | set ... SETメソッド |
OPTION | ... | openswan ... Openswan互換モード |
OPTIONに'openswan'を指定した場合にはOpenswan互換モードとなり、Openswanと接続できるようになる。
対象機種:RTX1100, RTX1500, RT107e
LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。
○LANインタフェースのリンクアップ後の送信抑制時間の設定
INTERFACE | ... | LANインタフェース名 |
TIME | ... | 送信抑制秒数(0..10) |
対象機種:RTX1100, RTX1500, RT107e
ARPエントリ変更をログに残すことができるようにした。
show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認することができる。
○ARPエントリの変化をログに残すか否かの設定
SWITCH |
|
対象機種:RTX1100, RTX1500, RT107e
シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。
○シリアル番号を使ったホスト名登録コマンドを実行
対象機種:RTX1100, RTX1500, RT107e
ネットスターの外部データベース参照型URLフィルタについて、特定拡張子を持つURLのカテゴリ確認を行うか否かを設定する機能を追加した。
http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/specified_extension.html
対象機種:RTX1100, RT107e
ファームウェアファイルの一覧を表示するコマンドを新設した。
○ファームウェアファイルの一覧
対象機種:RTX1100, RTX1500
RT107eで以下のトリガメール通知機能に対応した。
対象機種:RT107e
ARP受信時の動作を以下のように変更した。
対象機種:RTX1100, RTX1500, RT107e
外部データベース参照型URLフィルタについて次の修正を行った。
以下はネットスター専用。
対象機種:RTX1100, RT107e
以下のコマンドで、起動中の設定ファイルには '*' 印を表示するようにした。
対象機種:RTX1100, RTX1500, RT107e
IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとするように変更した。
ただし、IPv6リンクローカルアドレスは重複して設定できる。
対象機種:RTX1100, RTX1500, RT107e
show status lanコマンドにIPアドレスを表示するようにした。
例) # show status lan1 LAN1 説明: IPアドレス: 192.168.1.1/24 IPアドレス(セカンダリ): 192.168.2.1/24 イーサネットアドレス: 00:a0:de:01:23:45 :
対象機種:RTX1100, RTX1500, RT107e
GUIの[インターフェース]からPPP(ISDN)/PPPoE/PPP(専用線)インターフェースを追加するページで、「送信する認証の方式」の初期値を以下のように変更した。
変更前) ■PAP ■CHAP ■MSCHAP ■MSCHAPv2 変更後) ■PAP ■CHAP □MSCHAP □MSCHAPv2
対象機種:RTX1100, RTX1500
DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyの時、IPアドレス予約が解除されたらそのIPアドレスの現在のリース情報も消去することとした。
これにより、予約対象IPアドレスの再利用がより早くできるようになる。
対象機種:RTX1100, RTX1500, RT107e
ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えてinまたはoutの設定が反映されるように変更した。
対象機種:RTX1100, RTX1500, RT107e
PPP接続の認証で、CHAP Response送信のタイムアウト時にLCPを切断するようにした。
対象機種:RTX1100, RTX1500, RT107e
security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わせた。
show environmentの表示についても同様に変更した。
対象機種:RTX1100, RTX1500, RT107e
IPv6を使用したトンネルのスループットを改善した。
対象機種:RTX1100, RTX1500, RT107e
UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDPチェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000は「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が0x0000になった場合は0xFFFFに変換しなければならない。
対象機種:RTX1100, RTX1500, RT107e
長さが0にセットされているTCPオプションを受信したときに出力されるSYSLOG"Invalid TCP option length(0)" で、IPv6アドレスが正しく表示されないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
不正なTCPパケットを受信すると、パケットデータ外の不当領域を参照することがあるバグを修正した。
このバグにより、当該パケットを受信するとCPU利用率が不当に高くなることがあった。
対象機種:RTX1100, RTX1500, RT107e
IPv6 RAプロキシ機能で、上位ルーターから受信したRAのなかに未対応オプションが含まれていると、それが中継されないバグを修正した。
また、上位ルーターから受信したRAに複数のプレフィクスが含まれていても、そのうちの一つしか中継されないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
RIPで通知された経路が隠し経路 (hidden) としてルーティングテーブルに登録された場合、rip use offでRIPを停止してもその経路が削除されないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
静的経路やOSPF/BGPで学習した経路で、自分のLANインタフェース上にある別のホストをゲートウェイとする経路を、RIP2でそのLANインタフェースに広告できないバグを修正した。
このような経路は、RIP1ではスプリットホライズンの対象になり広告できないのが正しいが、RIP2では広告できなくてはいけない。
対象機種:RTX1100, RTX1500, RT107e
帯域検出機能で、ロスや遅延により測定に使用するパケットの受信タイムアウトが発生し、帯域測定がエラー終了するとリブートすることがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
アグレッシブモードの受け側としてIPsecトンネルを構築しているとき、そのトンネル内で帯域検出機能、または、負荷通知機能を使用すると恒常的にメモリリークが発生し、やがてリブートするバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
帯域検出のサーバ側で、クライアントからの測定用パケットの受信中に帯域検出機能の設定を変更するとメモリリークしリブートすることがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
多数の相手先に対してランダムに発着信を行うと、不特定の相手先とその後、自動発信できなくなったり、メモリリークすることがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
PPのanonymous接続においてpp auth usernameコマンドで相手に割り当てるIPアドレスが設定してあっても、ip routeコマンドでPAP/CHAPの名前を使って同じ相手に対する静的経路が設定してあると、2番目以降に接続した相手に対してはpp auth usernameコマンドの設定どおりのIPアドレスが割り当てられないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
Xauth認証機能を使ったIPsec接続で内部IPアドレスを付与したときにできる経路が、トンネルがダウンしたときに消えないことがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタセットが、そのトンネル内で有効にならないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
RTX1500で、IPsecトンネルで転送されるファストパスのフローが多くある場合に不特定のフローテーブルが不正に書き変わってしまうことがあるバグを修正した。
対象機種:RTX1500
RTX1500のIPsec機能でipcompを使うとshow status tunnelの受信パケット数がカウントされないバグを修正した。
また、NATトラバーサルあるいはUDPカプセル化を利用したときに、show status tunnelのパケット数がカウントされないバグを修正した。
対象機種:RTX1500
YMS-VPN1や他社製ルーターなど、ヤマハルーター以外の装置とIPsec接続する場合、アグレッシブモードの受け側としてヤマハルーターを設定すると、IPsec-SAのバイト寿命が尽きる直前にVPNがダウンすることがあるバグを修正した。なお、バイト寿命を設定していない装置との接続ではこの問題は該当しないが、YMS-VPN1との接続では必ずバイト寿命が設定されるため、この問題が該当する。
対象機種:RTX1100, RTX1500, RT107e
IPマスカレードが設定されているとPPTPの接続ができないことがあるバグを修正した。
また、PPTP(GRE)パケットのソースアドレスの選択基準に誤りがあり、設定によっては余分に不正なIPマスカレードのエントリを作ってしまうことがあるバグを修正した。
余分に作られた不正なエントリのTTLは、PPTPが正常に切断されて親となるPPTP制御パケットのエントリのTTLが短縮されても短縮されることはなく、当初のTTL(900秒)が満了するまで存在し続ける。
対象機種:RTX1100, RTX1500
PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptor address outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信のNAT変換が正しく行われないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
SIP-NAT機能において、NATのouterがprimaryに設定されている場合に、配下のVoIP機器が折り返し通話で無音になるバグを修正した。
SIP-NAT機能において、外側から内側へのSIPパケットについて、SDPのc=行のアドレス変換を追加した。
対象機種:RTX1100, RTX1500, RT107e
DHCPでアドレスをリース延長し続けるとメモリリークするバグを修正した。
クライアントからのメッセージにホストネームオプションがあった場合にメモリリークしていた。
対象機種:RTX1100, RTX1500, RT107e
DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、それが経路情報に反映されないことがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
DHCPサーバーでdhcp scope bindコマンドを用いて、あらかじめ予約されているIPアドレスに対するイーサネットアドレスを変更したときに、変更内容がDHCP relay-agentに反映されないバグを修正した。
変更内容が反映されないと、DHCP relay-agentにおいてdhcp-bind型もしくはdhcp-not-bind型のethernet filterが正しく動作しない。
対象機種:RTX1100, RTX1500, RT107e
SNMPで、atIfIndex、ipNetToMediaIfIndexの値が実際のインタフェースにかかわらず常に1(LAN1)になるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
ファストパスQoSを使用すると、SNMPで取得されるifOutQLenが不正な値になるバグを修正した。
対象機種:RTX1100
LAN1の送受信MIB値が正しくカウントされないバグを修正した。
対象機種:RTX1500
ノーマルパスで優先制御/帯域制御が動作しているとき、振り分け先のクラスの送信キューが上限に達しているためにパケットが破棄された場合でも、SNMPのMIB変数interfaces.ifTable.ifEntry.ifOutQLenが不正にカウントアップされるバグを修正した。
対象機種:RTX1100, RT107e
LANインタフェースにQoSを設定しているとき、通信中にQoSの設定を変更したり、interface reset lanNコマンドを実行すると、SNMPのMIB変数interfaces.ifTable.ifEntry.ifOutQLenに狂いが生じることがあるバグを修正した。
対象機種:RTX1100, RT107e
接続先PPにフレームリレーが設定されているとき、そのPPに対してSNMPマネージャからSNMPGETコマンドでフレームリレーのインタフェース番号 (mib2.transmission.frDlcmiTable.frDlcmiEntry.frDlcmiIfIndex) を取得すると、不当な値が返ってくるバグを修正した。
対象機種:RTX1100, RTX1500
接続先PPにフレームリレーが設定されているとき、SNMPでフレームリレーのPVC状態確認手順の設定値(mib2.transmission.frDlcmiTable.frDlcmiEntry.frDlcmiState)が取得できなかったり、取得できても不当な値が返ってくるバグを修正した。
また、frDlcmiEntryに対してSNMPWALKコマンドを実行しても、同原因によりfrDlcmiStateより前のオブジェクト(frDlcmiIfIndex)しか取得できていなかった。この問題も本修正により改善される。
対象機種:RTX1100, RTX1500
フレームリレーが設定されているPPにおいて、次に示す条件のいずれかが該当する場合、SNMPでフレームリレー関連のオブジェクト(mib2.transmission)が正しく取得できないバグを修正した。
(*) mib2.interfaces.ifTable.ifEntry.ifIndexに示される全インタフェースの通し番号で128以上になるPPインタフェースが該当する。
また、mib2テーブル全体に対してSNMPWALKコマンドを実行しても、上記条件に該当するPPが存在する場合はフレームリレー関連のオブジェクト(mib2.transmission)の取得中にSNMPマネージャでエラーが発生してしまうため、transmissionより後のオブジェクトを取得することができなかった。この問題も本修正により改善される。
対象機種:RTX1100, RTX1500
フレームリレー関連のMIBオブジェクト(mib-2.transmission)に対して、SNMPマネージャからSNMPGETNEXTやSNMPWALKコマンドが実行されたとき、QoSの設定がある場合でもQoSのクラスごとに設定されているMIBインタフェースを見せないようにした。
なお、フレームリレーの設定がない場合も、同オブジェクト(mib-2.transmission)に対してSNMPマネージャからSNMPGETNEXTやSNMPWALKコマンドが実行されたときは、応答する情報がないということを調べるために検索処理が発生する。いずれかのインタフェースにQoSの設定があるとMIBインタフェース数が増えることでこの検索処理にかかる時間が長くなり、ルータから何らかの応答を返す前にSNMPマネージャでタイムアウトが発生してしまうことがあった。また、その結果、SNMPマネージャはコマンドの再送を繰り返すことがあり、その間ルータの負荷が上がったまま下がらないという問題も発生する可能性があった。この問題は本修正により改善される。
対象機種:RTX1100, RTX1500
外部データベース参照型URLフィルタでネットスターを使用した場合、正常にライセンス認証が行えないことがあるバグを修正した。
対象機種:RTX1100, RT107e
全角文字が設定されたconfigを状態メール通知機能でメール通知をすると、受信したメールの一部が文字化けすることがあったバグを修正した。
対象機種:RTX1100, RTX1500
生存通知2において通知先をFQDNで指定した場合、通知パケットが不当に送信できなくなることがあるバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
SSHでログインしたルーターから、またはSSHでログインされたルーターに対して、リモートセットアップすることができないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
Web Assistanceの[ファイアウォール]の静的フィルターの置換処理で設定ファイルをセーブするように修正した。
対象機種:RTX1100, RTX1500
Web Assistanceの[NAT]-[インターフェース]ページから、ポート番号を指定しない静的IPマスカレードの設定を登録するとき、既に登録済みのプロトコルを指定してもエラーにならないバグを修正した。
対象機種:RTX1100, RTX1500
Web Assistanceの[インターフェース]-[インターフェースの設定・状態表示]-[Ethernetインターフェース(LANn)の設定]ページから、LANインターフェースのIPアドレスを削除できないバグを修正した。
IPアドレス、ネットマスクの入力欄を空にして登録することで、LANインターフェースのIPアドレスを削除できるように修正した。
対象機種:RTX1100, RTX1500
Web Assistanceの[インターフェース]からプロバイダを登録するとき、
に「"」「#」「<」「>」などの特殊文字を含んだ文字列を設定すると、登録の確認画面(admin/interface/conf_check.html)で正しく表示されず、コマンドも正しく設定されないバグを修正した。
対象機種:RTX1100, RTX1500
Web Assistanceの[インターフェース]から専用線の設定をするとき、「認証情報の\要求」の「相手の名前」「パスワード」の設定を削除できないバグを修正した。
「認証情報の要求」のチェックボックスを外して登録することで、全てのpp auth usernameコマンドを削除するようにした。
対象機種:RTX1100, RTX1500
NATの設定がされていないとき、Web Assistanceの[インターフェースの設定・状態表示]の詳細画面で、NATの一覧が正しく表示されないバグを修正した。
対象機種:RTX1100, RTX1500
Web Assistanceの[インターフェース]から専用線の設定をするとき、「認証情報の要求」の「相手の名前」または「パスワード」に「"」「#」「<」「>」などの特殊文字を含んだ文字列を設定すると、修正画面でこれらのアカウント情報が正しく表示されないバグを修正した。
対象機種:RTX1100, RTX1500
かんたん設定ページの[詳細設定と情報]-[ユーザとアクセス制限の設定]から、管理パスワードの入力欄に「#」「 」「'」「"」「\」などの特殊文字を含んだ文字列を入力し、「管理パスワードを暗号化して保存する」をチェックして設定すると、管理パスワードが正しく設定されないバグを修正した。
対象機種:RT107e
かんたん設定ページのファイアウォール設定において、動的IPフィルタの設定を追加するときに制御ルールに大量の設定を行なうと、リブートしたり不安定になったりするバグを修正した。
対象機種:RT107e
かんたん設定ページの[詳細設定と情報]-[コマンドの実行]ページから以下のコマンドを実行できないバグを修正した。
対象機種:RT107e
show ipv6 addressコマンドで、disableになっているtunnelインタフェースの情報が表示されるバグを修正した。
tunnelを一旦enableにした後でdisableにするとこの現象が発生していた。
対象機種:RTX1100, RTX1500, RT107e
pp enable all、tunnel enable all を設定しても show ipv6 addressコマンドでpp、tunnelの情報が表示されないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
no upnp port mapping timer コマンドを実行した場合、デフォルト値で動作するはずが172800で動作しているバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
以下のコマンドに「|」を指定できないバグを修正した。
対象機種:RTX1500
dns hostコマンドで'any'以外の値を設定したとき、ルーター自身からの名前解決ができなくなるバグを修正した。
nslookupやドメイン名を指定したping、メール通知、ネットボランチDNSなどで名前解決に失敗する。
対象機種:RTX1100, RTX1500, RT107e
以下のコマンドを用いて、ルーターのサーバ機能へアクセスできるホストをIPアドレス (IPv4またはIPv6) の範囲指定で制限したとき、異なるバージョンのIPアドレスを持つホストからはアクセスできてしまうバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
以下のコマンドで、プロトコル番号に256以上の値を指定してもエラーにならないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
dns server selectコマンドで、入力キーワードが不十分な状態で設定しようとすると、リブートすることがあるバグを修正した。
コマンド入力エラーになったとき、一部のエラー内容が間違っていたのを修正した。
対象機種:RTX1100, RTX1500, RT107e
dhcp scopeコマンドについて、以下のバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
ip lanN address dhcpコマンドを設定しても、コマンドを再設定、または再起動をしないとDNSの名前解決ができないことがあったバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
no http revision-up scheduleコマンドを実行した後、saveコマンドで保存しないままexit/quit/restartコマンドを実行しても、「新しい設定を保存しますか? (Y/N)」と問い合わせられないバグを修正した。
対象機種:RTX1100, RTX1500
PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、インタフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。
対象機種:RTX1100, RTX1500, RT107e
clear configurationコマンドを実行しても以下のコマンドが削除されないバグを修正した。
また、受信設定の識別子と時間を指定してnoコマンドを発行した場合にのみ個別に指定した設定を削除するようにした。
この修正に伴いオンラインヘルプも変更した。
○受信間隔の監視設定
RECV_ID........ 受信設定の識別子 |
|
RECV_IDを省略した場合は全ての受信設定が適用対象となる。ただし、RECV_IDを個別に指定した設定の方が優先して適用される。
○通知間隔の設定
TRANS_ID....... 通知設定の識別子 |
TIME........... 通知間隔秒数(30..65535) |
TRANS_IDを省略した場合は全ての通知設定が適用対象となる。ただし、TRANS_IDを個別に指定した設定の方が優先して適用される。
対象機種:RTX1100, RTX1500, RT107e
auth user attribute/auth user group attributeコマンドの各パラメータが重複指定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにした。
対象機種:RTX1100, RTX1500, RT107e
auth user group attributeコマンドでメモリリークするバグを修正した。
Rev.8.03.43以降のファームウェアで発生していた。
対象機種:RTX1100, RTX1500, RT107e
no ospf import fromコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
no ip null secure filterコマンドのコマンドヘルプの誤記を修正した。
方向に、in が表示されないようにした。
対象機種:RTX1100, RTX1500, RT107e
no ethernet filer コマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
dhcp scope lease typeコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
url filter external-database lookup specified extention listコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RT107e
url filter external-database lookup specified extensionコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RT107e
heartbeat2 receive recode limitコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
ipv6 INTERFACE secure filterコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
no nat descriptor timerコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
dns cache max entryコマンドのコマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e
ipv6 I/F mld staticコマンドで、コマンドヘルプの誤記を修正した。
ip I/F igmp static コマンドで、コマンドヘルプの誤記を修正した。
対象機種:RTX1100, RTX1500, RT107e