http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_94.html Revision : 08.03.94 Release : Dec. 2013, ヤマハ株式会社 Rev.8.03.94リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX1100/RTX1500/RT107e Rev.8.03.92からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] VPNクライアントYMS-VPN8に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8.html 設定例をご確認のうえ、ご利用ください。 対象機種: RT107e ■仕様変更 [1] PPPの認証方式で、mschap, mschap-v2を指定できるようにした。 対象機種: RT107e [2] L2TP/IPsecで以下の仕様変更を行った。 - 切断処理等で受信用のIPsec SAのみが残っている状況でも、当該トンネルで新規 L2TP/IPsec接続を受け付けることができるようにした。 - 特定の端末とのL2TP/IPsec接続で切断処理に30秒程度かかってしまう事象への対策 をした。 - 切断時にDEBUGレベルのSYSLOGに出力される以下のログを変更した。 変更前: [IKE] Reset L2TP/IPsec setting 変更後: [IKE] Reset L2TP/IPsec setting TUNNEL[XX] - 接続および切断時に以下のログをINFOレベルのSYSLOGに出力するようにした。 接続時: IP Tunnel[XX] Up 切断時: IP Tunnel[XX] Down 対象機種: RTX1100, RTX1500, RT107e ■バグ修正 [1] RFCの記述の不整合を起因とするOSPFv2の脆弱性(VU#229804)について対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU96465452.html OSPFでAdvertising RouterとLink State IDとが異なるRouter LSAを含むLSUパケッ トを受信したとき、それを破棄するようにした。 対象機種: RTX1100, RTX1500, RT107e [2] IPsecフェーズ2においてレスポンダーとして動作する場合、イニシエーターが提案す る暗号化アルゴリズムと認証方式の組の中にipsec sa policyコマンドで設定した組 が含まれないとリブートするバグを修正した。 ルーター間で異なる暗号化アルゴリズムや認証方式を設定してIPsec接続を行った場 合がこの条件に該当する。 ※Rev.8.03.92のみで発生する。 対象機種: RTX1100, RTX1500, RT107e [3] DHCPクライアント、DHCPv6-PDクライアント機能で、ベンダー情報を取得する場合に リブートすることがあるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [4] ipv6 INTERFACE address dhcpコマンドとipv6 INTERFACE dhcp serviceコマンドを記 述した設定ファイルをTFTPでルーターに書き込むとハングアップし、その後リブート することがあるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [5] L2TP/IPsecで、接続を受ける毎にメッセージエリアの解放漏れが発生し、通信がで きなくなったり、ルーターの動作が不安定になることがあるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [6] L2TP/IPsecで、L2TPキープアライブパケットが再送される場合に不正なシーケンス番 号が使用されるバグを修正した。 本バグによって、L2TPキープアライブパケットがロスした場合に誤ってトンネルダウ ンを検知することがあった。 対象機種: RTX1100, RTX1500, RT107e [7] NATトラバーサルが適用されたL2TP/IPsec接続で、ISAKMP SAのリキーに失敗したり、 不正なトンネルインターフェースで新しいISAKMP SAが生成されることがあるバグを 修正した。 対象機種: RTX1100, RTX1500, RT107e [8] L2TP/IPsecで、以下の条件に合致すると切断処理が行われてしまうバグを修正した。 - IPsecフェーズ1で再送された第3メッセージおよび第5メッセージを受信したとき - IPsecフェーズ1が確立した状態で、そのフェーズ1で使用されたクッキー情報を持 つIPsecフェーズ1のメッセージを受信したとき ※Rev.8.03.92のみで発生する。 対象機種: RTX1100, RTX1500, RT107e [9] L2TP/IPsecでVJCまたはCCPが有効な場合、データ領域が不正なL2TPパケットが送信さ れることがあるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [10] L2TP/IPsecで、正しい設定がされているにもかかわらずクライアントからの接続要 求を受け付けられないことがあるバグを修正した。 tunnel encapsulation l2tpコマンドを最後に設定したときに発生する。 対象機種: RTX1100, RTX1500, RT107e [11] L2TP/IPsecで、NATの配下から複数の端末が接続している状況でその内の1台から不 正なIKEメッセージを受信すると、他の接続が切断されることがあるバグを修正し た。 対象機種: RTX1100, RTX1500, RT107e [12] L2TP/IPsecで、IPsecによって暗号化されていないL2TPのメッセージを受信してしま うことがあるバグを修正した。 ただし、本バグによってIPsecを介さないL2TP接続が確立することはない。 対象機種: RTX1100, RTX1500, RT107e [13] L2TP/IPsecで、AVPに関するログの誤記を修正した。 対象機種: RTX1100, RTX1500, RT107e [14] L2TP/IPsecで、disconnectコマンドによって接続している端末を切断した場合、次 に当該トンネルで受けた接続において接続後の鍵交換に失敗して切断されることが あるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [15] l2tp tunnel authコマンドで以下のバグを修正した。 - PASSWORDパラメーターに初期値(機種名)を設定するとshow configコマンドに出力 されない - SWITCHパラメーターをoffに設定したときにPASSWORDパラメーターが入力できない 対象機種: RTX1100, RTX1500, RT107e [16] PPPの認証で、mschapまたはmschap-v2が使用された場合であっても、show status ppコマンドで出力されるPPPオプションに含まれる認証アルゴリズムが"CHAP"と表示 されるバグを修正した。 対象機種: RTX1100, RTX1500 ■更新履歴 Dec. 2013, Rev.8.03.94 リリース Dec. 2013, Rev.8.03.94 機能追加[1] 設定例のリンクを追記 以上