SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下の機能追加を行った。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html
sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定できるようにした。
また、GUIの[アクセス管理]-[SSHの設定]から暗号アルゴリズムを設定できるようにした。
○SSHサーバで利用可能な暗号アルゴリズムの設定
ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能) |
|
QAC/TMで以下の機能を追加した。
○クライアントPCのアンチウイルスソフトウェアバージョン情報を取得するポート番号の設定
○クライアントPCにインストールしているアンチウイルスソフトウェアのウイルスパターンファイルとウイルス検索エンジンの自動アップデートの設定
|
○QAC/TMで表示する警告画面の設定
○クライアントPCのアンチウイルスソフトウェアパターンファイル情報を更新する
|
○アンチウイルスソフトウェアの管理サーバの設定(仕様変更)
|
生存通知機能2を追加した。
なお、従来の生存通知機能とは動作上の互換性はない。
LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。
○LANインタフェースのリンクアップ後の送信抑制時間の設定
ARPエントリ変更をログに残すことができるようにした。
show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認することができる。
○ARPエントリの変化をログに残すか否かの設定
SWITCH |
|
シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。
○シリアル番号を使ったホスト名登録コマンドを実行
DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が解除されたらそのIPアドレスの現在のリース情報も消去することとした。
これにより、予約対象IPアドレスの再利用がより早くできるようになる。
IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとするように変更した。
ただし、IPv6リンクローカルアドレスは重複して設定できる。
show status lanコマンドにIPアドレスを表示するようにした。
例) # show status lan1 LAN1 説明: IPアドレス: 192.168.1.1/24 IPアドレス(セカンダリ): 192.168.2.1/24 イーサネットアドレス: 00:a0:de:01:23:45 :
外部データベース参照型URLフィルターについて、特定拡張子を持つURLのカテゴリ確認を行うか否かを設定する機能を、外部データベースとしてデジタルアーツを選択しても使えるようにした。
GUIの外部データベース参照型URLフィルターのオプション設定に特定拡張子を持つURLのカテゴリ確認を行うか否かの設定できるようにした。
具体的な設定項目としては以下となる。
security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わせた。
show environmentの表示についても同様に変更した。
UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDPチェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000は「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が0x0000になった場合は0xFFFFに変換しなければならない。
IPv6 RAプロキシ機能を使用しているとき、配下のホストへ通知するRA内のprefix informationの数が時間とともに増えていくバグを修正した。まったく同一のIPv6プレフィックスの数が増えていくというバグであり、上位ルーターからRAを受信する度にその数が増えていく可能性があった。
Rev.10.00.44以降で発生する。
IKEキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われないバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマンドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正した。
IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤検知してトンネルがダウンすることがあるバグを修正した。
XAUTHの内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続後に当該アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正した。
本来であれば、temporary経路として登録されるのが正しい。
XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタセットが、そのトンネル内で有効にならないバグを修正した。
PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptoraddress outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信のNAT変換が正しく行われないバグを修正した。
IPマスカレード機能において、内側IPアドレスのホストへパケットが到達不能な場合などには送信元ホストへICMPエラーを送信するが、このICMPエラーの数に応じて統計情報のNATエントリー数が増え続けていき、元に戻らなくなるバグを修正した。
DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、それが経路情報に反映されないことがあるバグを修正した。
TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケットを受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。
既にSSHでログインしているユーザー名と同じユーザー名でSSH接続をすると、その後の動作が不安定になり、リブートすることがあったバグを修正した。
QAC/TMでサーバー情報を更新したときに不正なログを出力するバグを修正した。
GUIからポートの開閉状態の診断を実行したとき、診断が実行されたのにも関わらず、結果表示画面で"実行されていません"等の不当なメッセージが表示されることがあるバグを修正した。
この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。
ポートの開閉状態の診断の実行中に"Task time exceed"でリブートすることがあるバグを修正した。
この問題は、通過パケットの最大検出数の設定を大きく増やし、かつ、診断中に検出した通過パケット数が多いときに発生しやすい。
GUIの[インターフェース]のヘルプページで、「インターフェースの名前」で設定されるコマンドが間違っていたバグを修正した。
GUIのウィザードから「フレッツ・グループアクセス/フレッツブループ[LAN型払い出し]」の設定をした後、ウィザードの修正画面(プロバイダの設定 2/4)を開くと、[端末型払い出し]と表示されるバグを修正した。
GUIの[IPsec]-[XAUTHのユーザーの設定]のページからXAUTHの設定を変更すると正しく設定されないバグを修正した。
ip policy filter setコマンドを設定している状態で、GUIの[IPsec]ページの「設定の検証」を実行し、ポリシーフィルターの設定を追加する場合、ip policy filter setコマンドが正しく設定されないことがあるバグを修正した。
"name=" オプションを指定していない場合に発生していた。
GUIの[メール通知]-[通知内容の設定]ページで、送信先メールアドレスの設定に入力可能な最大文字数(64文字)を登録すると、[メール通知]のメインページと修正用のページでは63文字分しか表示されないバグを修正した。
GUIの[メール通知]のヘルプページに、送信元/送信先メールアドレスの入力可能な文字数について追記した。
GUIの[ルーティング]ページで以下の修正をした。
GUIにて、メール通知の設定がある状態でメール通知のページをURL指定で開くとリブートするバグを修正した。
ブラウザから以下のURLにアクセスすると、リブートするバグを修正した。
統計情報の以下のページで、ログアウトのリンクが表示されないバグを修正した。
dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select'キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正した。
console character/columns/linesコマンドの設定を変更後、restartコマンドを実行し、設定の変更を保存するか否かの問いに 'Y' を入力して再起動をすると、変更したはずの設定がconfigに保存されないバグを修正した。
256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降のパラメータのタブ補完が効かないバグを修正した。
ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えてinまたはoutの設定が反映されるように変更した。
no upnp port mapping timer コマンドを実行した場合、デフォルト値で動作するはずが172800で動作しているバグを修正した。
PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、インタフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。
ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名の名前解決に失敗し、IPsecの接続ができないバグを修正した。
トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。
ip keepaliveコマンドで以下のバグを修正した。
dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグを修正した。
no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、不正に設定が追加されるバグを修正した。
また、設定されていないスコープ番号を指定した場合、エラーメッセージを出すようにした。
auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定すると、任意のIPv4アドレスが設定されてしまうバグを修正した。
auth user attribute/auth user group attributeコマンドの各パラメータが重複指定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにした。
auth user group attributeコマンドでメモリリークするバグを修正した。
no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正した。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。
url filter external-database lookup specified extention listコマンドのコマンドヘルプ表示が間違っているバグを修正した。
url filter external-database lookup specified extensionコマンドのコマンドヘルプ表示が間違っているバグを修正した。
no tcp logコマンドのコマンドヘルプが表示されないのを修正した。
以下のコマンドのコマンドヘルプで、パラメータのIDについて説明が表示されないバグを修正した。
no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述がないのを修正した。