http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_46.html
Revision : 10.00.46
Release : Jul. 2009, ヤマハ株式会社

Rev.10.00.46リリースノート

Rev.10.00.44 からの変更点

■機能追加

  1. SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下の機能追加を行った。

    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html

    sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定できるようにした。
    また、GUIの[アクセス管理]-[SSHの設定]から暗号アルゴリズムを設定できるようにした。

    ○SSHサーバで利用可能な暗号アルゴリズムの設定

    [書式]
    sshd encrypt algorithm [ALGORITHM ...]
    no sshd encrypt algorithm [...]
    [設定値]
    ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能)
    • aes128-ctr ..... AES128-CTR
    • aes192-ctr ..... AES192-CTR
    • aes256-ctr ..... AES256-CTR
    • aes128-cbc ..... AES128-CBC
    • aes192-cbc ..... AES192-CBC
    • aes256-cbc ..... AES256-CBC
    • 3des-cbc ....... 3DES-CBC
    • blowfish-cbc ... Blowfish-CBC
    • cast128-cbc .... CAST-128-CBC
    • arcfour ........ Arcfour
    [説明]
    SSHサーバで利用可能な暗号アルゴリズムを設定する。
    ALGORITHMで指定した暗号アルゴリズムのリストをSSH接続時にクライアントへ提案する。
    [ノート]
    ALGORITHMで指定した暗号アルゴリズムをクライアントがサポートしていない場合には、そのクライアントとSSHによる接続ができない。
    [初期値]
    aes128-ctr aes192-ctr aes256-ctr

  2. QAC/TMで以下の機能を追加した。

    ○クライアントPCのアンチウイルスソフトウェアバージョン情報を取得するポート番号の設定

    [書式]
    qac-tm client port PORT [PORT...]
    no qac-tm client port
    [設定値]
    PORT ... 空白で区切られたポート番号の並び(10個以内)
    [説明]
    クライアントPCにインストールしているアンチウイルスソフトウェアのバージョン情報を取得するポート番号を設定する。
    [初期値]
    なし

    ○クライアントPCにインストールしているアンチウイルスソフトウェアのウイルスパターンファイルとウイルス検索エンジンの自動アップデートの設定

    [書式]
    qac-tm client update SW [PORT]
    no qac-tm client update
    [設定値]
    SW
    on ... 自動アップデートを行う
    off ... 自動アップデートを行わない
    PORT ... 自動アップデート指示を送信するUDPポート番号
    1 - 65535
    [説明]
    クライアントPCにインストールされているアンチウイルスソフトウェアびウイルスパターンファイルとウイルス検索エンジンを自動でアップデートするか否かを設定する。
    [ノート]
    本機能を使用する場合は、クライアントPCにエージェント(QAC/TM エージェント)をインストールしている必要がある。
    [初期値]
    off
    52225

    ○QAC/TMで表示する警告画面の設定

    [書式]
    qac-tm warning url URL
    no qac-tm warning url
    [設定値]
    URL ... 不適格PCのWebアクセスで表示する警告画面のURL
    [説明]
    不適格PCからのWebアクセス時に表示する警告画面のURLを設定する。
    [初期値]
    ルータが用意する警告画面のURL

    ○クライアントPCのアンチウイルスソフトウェアパターンファイル情報を更新する

    [書式]
    qac-tm client refresh go IP_ADDRESS [prompt]
    [設定値]
    IP_ADDRESS
    all ....... すべてのクライアントPC
    IPアドレス ..... 更新するクライアントPCのIPアドレス(xxx.xxx.xxx.xxx(xxx は十進数))
    prompt ... コマンド実行後すぐにプロンプトを表示する
    [説明]
    クライアントPCのアンチウイルスソフトウェアのウイルスパターンファイル及びウイルス検索エンジンのバージョン情報の更新を行う。
    管理サーバの情報を更新した場合、または、クライアントPCのウイルスパターンファイル及び検索エンジンのアップデートを行った場合にルータ内の情報を最新の状態へ更新する。

    ○アンチウイルスソフトウェアの管理サーバの設定(仕様変更)

    [書式]
    qac-tm server IP_ADDRESS PORT [protocol=PROTOCOL]
    no qac-tm server
    [設定値]
    IP_ADDRESS ... 管理サーバPCのIPアドレス
    PORT ... 管理サーバPCへアクセスするポート番号
    PROTOCOL ... サーバー情報を取得するときに使用するプロトコル
    http ..... httpを使用する
    https ..... httpsを使用する
    [説明]
    アンチウイルスソフトウェア管理サーバPCのIPアドレスとポート番号を設定する。
    [初期値]
    PROTOCOL=http

  3. 生存通知機能2を追加した。

    なお、従来の生存通知機能とは動作上の互換性はない。

    http://www.rtpro.yamaha.co.jp/RT/docs/heartbeat/index2.html

  4. LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。

    ○LANインタフェースのリンクアップ後の送信抑制時間の設定

    [書式]
    lan linkup send-wait-time INTERFACE TIME
    no lan linkup send-wait-time INTERFACE [TIME]
    [設定値]
    INTERFACE
    LANインタフェース名
    TIME
    送信抑制秒数(0..10)
    [説明]
    リンクアップ後の送信抑制時間を設定し、パケットの送信を抑制する。送信を抑制されたパケットはキューに保存され、リンクアップから設定秒数の経過後に送信される。保存先のキュー長はqueue INTERFACE lengthコマンドの設定に従う。
    [ノート]
    リンクアップ直後にGratuitous ARPやIPv6 neighbor solicitation等のパケットがルーターから送信されるが、その送信が早過ぎるために対向機器側で受信できない場合は、この抑制時間を適宜設定し送信を遅延させることで対向機器側で受信できるようになる。
    [初期値]
    0 (抑制しない)

  5. ARPエントリ変更をログに残すことができるようにした。
    show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認することができる。

    ○ARPエントリの変化をログに残すか否かの設定

    [書式]
    ip INTERFACE arp log SWITCH
    no ip INTERFACE arp log [SWITCH]
    [設定値]
    SWITCH
    • on ... 記録する
    • off ... 記録しない
    [説明]
    ARPエントリの変更をログに記録するか否かを設定する。
    [初期値]
    off

  6. シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。

    ○シリアル番号を使ったホスト名登録コマンドを実行

    [書式]
    netvolante-dns set hostname INTERFACE serial
    [設定値]
    INTERFACE ... LANインタフェース名あるいは"pp"
    [説明]
    機器のシリアル番号をホスト名登録するコマンドを発行する。
    つまり本コマンドを実行すると、機器のシリアル番号を使ってnetvolante-dns hostname hostコマンドが設定される。

■仕様変更

  1. DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が解除されたらそのIPアドレスの現在のリース情報も消去することとした。
    これにより、予約対象IPアドレスの再利用がより早くできるようになる。

  2. IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとするように変更した。
    ただし、IPv6リンクローカルアドレスは重複して設定できる。

    IPアドレスの設定
    ip INTERFACE address
    ip pp address
    ip tunnel address
    ip loopback address
    IPv6アドレスの設定
    ipv6 INTERFACE address
    ipv6 pp address
    ipv6 tunnel address
    ipv6 loopback address
    IPv6プレフィックスの設定
    ipv6 INTERFACE prefix
    ipv6 pp prefix
    ipv6 tunnel prefix

  3. show status lanコマンドにIPアドレスを表示するようにした。

        例)
    # show status lan1
    LAN1
    説明:
    IPアドレス:                     192.168.1.1/24
    IPアドレス(セカンダリ):         192.168.2.1/24
    イーサネットアドレス:           00:a0:de:01:23:45
    :

  4. 外部データベース参照型URLフィルターについて、特定拡張子を持つURLのカテゴリ確認を行うか否かを設定する機能を、外部データベースとしてデジタルアーツを選択しても使えるようにした。

  5. GUIの外部データベース参照型URLフィルターのオプション設定に特定拡張子を持つURLのカテゴリ確認を行うか否かの設定できるようにした。
    具体的な設定項目としては以下となる。

  6. security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わせた。
    show environmentの表示についても同様に変更した。

■バグ修正

  1. UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDPチェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000は「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が0x0000になった場合は0xFFFFに変換しなければならない。

  2. IPv6 RAプロキシ機能を使用しているとき、配下のホストへ通知するRA内のprefix informationの数が時間とともに増えていくバグを修正した。まったく同一のIPv6プレフィックスの数が増えていくというバグであり、上位ルーターからRAを受信する度にその数が増えていく可能性があった。

    Rev.10.00.44以降で発生する。

  3. IKEキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。

  4. IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われないバグを修正した。

  5. IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマンドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正した。

  6. IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤検知してトンネルがダウンすることがあるバグを修正した。

  7. XAUTHの内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続後に当該アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正した。

    本来であれば、temporary経路として登録されるのが正しい。

  8. XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタセットが、そのトンネル内で有効にならないバグを修正した。

  9. PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptoraddress outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信のNAT変換が正しく行われないバグを修正した。

  10. IPマスカレード機能において、内側IPアドレスのホストへパケットが到達不能な場合などには送信元ホストへICMPエラーを送信するが、このICMPエラーの数に応じて統計情報のNATエントリー数が増え続けていき、元に戻らなくなるバグを修正した。

  11. DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、それが経路情報に反映されないことがあるバグを修正した。

  12. TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケットを受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。

  13. 既にSSHでログインしているユーザー名と同じユーザー名でSSH接続をすると、その後の動作が不安定になり、リブートすることがあったバグを修正した。

  14. QAC/TMでサーバー情報を更新したときに不正なログを出力するバグを修正した。

  15. GUIからポートの開閉状態の診断を実行したとき、診断が実行されたのにも関わらず、結果表示画面で"実行されていません"等の不当なメッセージが表示されることがあるバグを修正した。
    この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。

  16. ポートの開閉状態の診断の実行中に"Task time exceed"でリブートすることがあるバグを修正した。
    この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。

  17. GUIの[インターフェース]のヘルプページで、「インターフェースの名前」で設定されるコマンドが間違っていたバグを修正した。

  18. GUIのウィザードから「フレッツ・グループアクセス/フレッツブループ[LAN型払い出し]」の設定をした後、ウィザードの修正画面(プロバイダの設定 2/4)を開くと、[端末型払い出し]と表示されるバグを修正した。

  19. GUIの[IPsec]-[XAUTHのユーザーの設定]のページからXAUTHの設定を変更すると正しく設定されないバグを修正した。

  20. ip policy filter setコマンドを設定している状態で、GUIの[IPsec]ページの「設定の検証」を実行し、ポリシーフィルターの設定を追加する場合、ip policy filter setコマンドが正しく設定されないことがあるバグを修正した。
    "name=" オプションを指定していない場合に発生していた。

  21. GUIの[メール通知]-[通知内容の設定]ページで、送信先メールアドレスの設定に入力可能な最大文字数(64文字)を登録すると、[メール通知]のメインページと修正用のページでは63文字分しか表示されないバグを修正した。
    GUIの[メール通知]のヘルプページに、送信元/送信先メールアドレスの入力可能な文字数について追記した。

  22. GUIの[ルーティング]ページで以下の修正をした。

  23. GUIにて、メール通知の設定がある状態でメール通知のページをURL指定で開くとリブートするバグを修正した。

  24. ブラウザから以下のURLにアクセスすると、リブートするバグを修正した。

  25. 統計情報の以下のページで、ログアウトのリンクが表示されないバグを修正した。

  26. dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select'キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正した。

  27. console character/columns/linesコマンドの設定を変更後、restartコマンドを実行し、設定の変更を保存するか否かの問いに 'Y' を入力して再起動をすると、変更したはずの設定がconfigに保存されないバグを修正した。

  28. 256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降のパラメータのタブ補完が効かないバグを修正した。

  29. ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えてinまたはoutの設定が反映されるように変更した。

  30. no upnp port mapping timer コマンドを実行した場合、デフォルト値で動作するはずが172800で動作しているバグを修正した。

  31. PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、インタフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。

  32. ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名の名前解決に失敗し、IPsecの接続ができないバグを修正した。

  33. トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。

  34. ip keepaliveコマンドで以下のバグを修正した。

  35. dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグを修正した。

  36. no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、不正に設定が追加されるバグを修正した。
    また、設定されていないスコープ番号を指定した場合、エラーメッセージを出すようにした。

  37. auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定すると、任意のIPv4アドレスが設定されてしまうバグを修正した。

  38. auth user attribute/auth user group attributeコマンドの各パラメータが重複指定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにした。

  39. auth user group attributeコマンドでメモリリークするバグを修正した。

  40. no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正した。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。

  41. url filter external-database lookup specified extention listコマンドのコマンドヘルプ表示が間違っているバグを修正した。

  42. url filter external-database lookup specified extensionコマンドのコマンドヘルプ表示が間違っているバグを修正した。

  43. no tcp logコマンドのコマンドヘルプが表示されないのを修正した。

  44. 以下のコマンドのコマンドヘルプで、パラメータのIDについて説明が表示されないバグを修正した。

  45. no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述がないのを修正した。

■更新履歴

Jul. 2009, Rev.10.00.46 リリース


以上