OpenSSLの以下の脆弱性対応を行った。
CVE-2015-1789の脆弱性については、IKEv2のPKI証明書を利用した認証(「デジタル署名方式」および「EAP-MD5方式」)を行う場合に該当し、この脆弱性の影響によりルーターがリブートする可能性がある。
クリックジャッキング脆弱性対応を行った。 (JPCERT/CC JVNVU#48135658)
スイッチ制御機能で、SWX2100に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
モバイルインターネット機能で、以下のデータ通信端末に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
L2TPv3で、ブリッジインターフェースに収容した物理LANインターフェース上でVLANインターフェースを使用することができるようにした。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/#tagvlan
外部仕様書をよくご確認のうえ、ご利用ください。
SSHサーバー応答に含まれるOpenSSHのバージョン情報を隠匿できるようにした。
○SSHサーバー応答に含まれるOpenSSHのバージョン情報の非表示設定
| 設定値 | 説明 |
|---|---|
| on | バージョン情報を表示しない |
| off | バージョン情報を表示する |
SSH接続時のサーバー応答に含まれるOpenSSHのバージョン情報を表示するか否かを設定する。
このコマンドはセキュリティー目的としてOpenSSHのバージョン情報を隠匿したい場合に使用する。
このコマンドをonに設定した場合は、サーバー応答は "SSH-2.0-OpenSSH" となる。
このバージョン情報は、SSH接続時にサーバーとクライアントのプロトコルの互換性を調整するために使用される。
このため、このコマンドをONに設定することにより、クライアントのソフトによっては、接続できなくなる可能性がある。
その場合には、クライアントソフトを変更するか、このコマンドの設定をOFFにする。
DHCPの動作をインターフェースごとに設定できるようにした。
○インターフェースごとのDHCPの動作の設定
| 設定値 | 説明 |
|---|---|
| off | DHCPサーバーとしてもDHCPリレーエージェントとしても機能しない |
| server | DHCPサーバーとして機能させる |
| relay | DHCPリレーエージェントとして機能させる |
インターフェースごとにDHCPの動作を設定する。
DHCPサーバーを設定した場合には、ネットワークアドレスが合致するDHCPスコープからIPアドレスを1つ割り当てる。
DHCPリレーエージェントを設定した場合には、hostを設定する必要があり、このhostへDHCP DISCOVERパケットおよびDHCP REQUESTパケットを転送する。
offに設定した場合には、DHCPサーバーとしてもDHCPリレーエージェントとしても動作せず、DHCPパケットは破棄される。
本設定が無い場合は、dhcp serviceコマンドの設定に従う。dhcp serviceコマンドの設定と本設定の両方がある場合には、本設定が優先される。
無線APやスイッチの設定内容を表示するコマンドを追加した。
○指定した無線APの設定内容の表示
show config、less configコマンドの表示の中から、指定した無線APに関するものだけを表示する。
○指定したスイッチの設定内容の表示
show config、less configコマンドの表示の中から、指定したスイッチに関するものだけを表示する。
STATUS LEDの点灯の原因となっているインターフェースを参照するためのコマンドを追加した。
○STATUS LEDの点灯に関する履歴の表示
STATUS LEDの点灯の原因となっているインターフェースの一覧と状態変化の履歴を表示する。
外部データベース参照型URLフィルター機能ではSSLを使用して通信を暗号化しているが、その際に暗号強度の弱い暗号アルゴリズムを使用しないようにした。
モバイルインターネット機能で、データ通信端末へのコマンド送信に失敗したときはデータ通信端末の再アタッチ処理を行い復旧できるようにした。
モバイルインターネット機能で、網に接続している状態でATコマンドの送信が可能なモバイル端末に対しては、execute at-commandコマンドを実行できるようにした。
モバイルインターネット機能で、USB STICK LTE HWD12の網からの切断処理を変更した。
モバイルインターネット機能で、モバイル端末がアタッチされていない状態でWANインターフェースに対する発呼要求があったときに、INFOレベルで以下のログを出力するようにした。
Luaスクリプト機能で、以下の変更を行った。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
interface resetコマンドのパラメーターにUSBとSDを追加した。
○インターフェースの再起動
指定したインターフェースを再起動する。
LANインターフェースでは、オートネゴシエーションする設定になっていればオートネゴシエーション手順が起動される。
BRIとPRIインターフェースを使用中に回線種別をline typeコマンドで変更した場合には、本コマンドでインターフェースを再起動する必要がある。
BRIとPRIインターフェースでMPを使用している場合にはinterface reset ppコマンドを使用する。
USBとSDインターフェースでは、ポートの給電がOFF,ONされ、USBデバイスやmicroSDカードの再アタッチが行われる。
RTX1500,RTX1100,RTX810,RT107e,SRT100 では、LAN1またはLAN2に対してこのコマンドを実行すると、LAN1およびLAN2インターフェースが同時にリセットされる。
RTX5000/RTX3500 RTX1200では、いずれか一つのLANインターフェースに対してこのコマンドを実行すると、すべてのLANインターフェースが同時にリセットされる。
LANインターフェースだけを持つモデルでは、INTERFACEパラメーターにはLANインターフェース名のみ指定可能。
WANインターフェースはRev.10.01.32以降のRTX1200、Rev.10.00.60以降のSRT100、RTX1210、RTX810で指定可能。
USBインターフェースはRev.14.01.09以降のRTX1210、Rev.11.01.25以降のRTX810、Rev.10.01.65以降のRTX1200で指定可能。 ★
SDインターフェースはRev.14.01.09以降のRTX1210、Rev.11.01.25以降のRTX810、Rev.10.01.65以降のRTX1200で指定可能。 ★
line typeコマンド、pp bindコマンド、経路情報などすべての設定を整えた後に実行する。対象とするインターフェースがバインドされているすべての相手先情報番号の通信を停止した状態で、また回線種別を変更する場合には回線を抜いた状態で実行すること。
L2TP/IPsecおよびL2TPv3を用いたL2VPNで、セッション数が多いときの性能を改善した。
温度監視によって出力されるSYSLOGメッセージを以下のように変更した。
upnp port mapping timer typeコマンドがarp(初期値)に設定にしてあり、なおかつポートマッピングのエントリが存在するとき、稀にリブートすることがあるバグを修正した。
show pki certificate summaryコマンドを実行したとき、メモリの不正解放が発生し、リブートやハングアップすることがあるバグを修正した。
console infoコマンドがonに設定されており、ルーターの起動時や起動後に一度でもシリアルコンソールを接続したことがある場合、その後シリアルコンソールを切断した状態が長時間経過すると、稀にルーターの動作が不安定になったり、リブートすることがあるバグを修正した。
IPv6 QoSを設定してあるとき、IPv6の通信が発生した直後に稀にリブートすることがあるバグを修正した。
interface reset briコマンドを短い時間で連続して実行したときに、稀にコンソールの反応がなくなり、数時間後にリブートすることがあるバグを修正した。
PPTPで、接続処理が始動するときにメモリリークが発生するバグを修正した。
UPnP機能で、属性を3つ以上持つ要素を含むXML文書のパケットを受信するとメモリリークが発生するバグを修正した。
ipsec transport templateコマンドで設定が集約されているとき、展開先となるIDに対してipsec transportコマンドを実行または削除するとメモリリークが発生するバグを修正した。
URLフィルターを使用しているとき、チェックしたHTTPリクエストにHostフィールドまたはRefererフィールドが複数含まれているとメモリリークが発生するバグを修正した。
モバイルインターネット機能で、網に接続した状態でrestartコマンドなどによってルーターの再起動を行うと、ごく稀にUSIMカードが故障することがあるバグを修正した。
モバイルインターネット機能で、USB STICK LTE HWD12端末を使用したときに稀にアタッチに失敗することがあるバグを修正した。
モバイルインターネット機能で、以下のバグを修正した。
PPPoE接続上でIPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行われると、トンネルを介した通信が行えなくなることがあるバグを修正した。
PPPoEサーバーへの静的経路が設定されるなど、PPPoEの再接続により経路情報が変化しない場合かつファストパスが有効な場合に発生する。
PPPoE接続上でL2TP/IPsecまたはL2TPv3/IPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行われると、トンネルを介した通信が行えなくなることがあるバグを修正した。
ファストパスが有効な場合に発生する。
IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由するノーマルパスの通信が行えなくなることがあるバグを修正した。
IPsecで、回線の一時的な切断/接続などによるトンネルダウン/アップをきっかけとして、不当にキープアライブ断が検知されSTATUSランプが点灯し続けることがあるバグを修正した。
IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由する通信が行えないバグを修正した。
IKEv2で、IKE SAのリキー後にipsec sa deleteコマンドでCHILD SAを削除すると、トンネルアップできなくなることがあるバグを修正した。
ブリッジインターフェースを端点として接続が確立したL2TPv3で、トンネルを経由する通信が行えないバグを修正した。
L2TPv3を用いたL2VPNで、ブリッジインターフェースに収容されたLANインターフェースに対してIN方向の不正アクセス検知が設定してあるとき、フラグメントされたパケットがブリッジングされずに破棄されてしまうバグを修正した。
L2TPv3で、ブリッジインターフェースで受信したパケットを経路情報に従って送信するときに、受信したインターフェースから送信できないバグを修正した。
Rev.10.01.59で発生する。
L2TPv3で、ブリッジインターフェースで受信したパケットを経路情報に従ってブリッジインターフェースから送信するとき、イーサネットヘッダフィールドが不正なパケットが送信されてしまうバグを修正した。
ファストパスが有効な場合に発生する。
データコネクト拠点間接続機能で、ipsec ike remote nameコマンドが設定されている状態で当コマンドの設定を削除すると、ナンバー・ディスプレイ契約無しの回線にも関わらず着信に応答してしまうバグを修正した。
元々設定がされていない状態でルーターを起動した場合には問題は発生しない。
データコネクト拠点間接続のIPsecトンネルで、接続要求を受信したとき、稀にIKEの認証に失敗してトンネルがアップしないことがあるバグを修正した。
データコネクト拠点間接続機能およびデータコネクトリモートセットアップ機能で、接続できない相手からの着信にエラーを返すと、直後に接続できる相手に発信しても正常に接続できないバグを修正した。
PP anonymousの名前によるルーティング設定により自動接続するときに、その契機となるパケットが出力フィルターで破棄する条件に一致した場合に、anonymousインターフェースを持ちきってしまい、以降の着信に応答しなくなるバグを修正した。
Rev.10.01.36以降で発生する。
anonymousインターフェースにおいて、pp auth usernameコマンドで相手に割り当てるIPアドレスを指定した場合にimplicit経路が生成されるが、この設定を消したときにこの経路が消えないバグを修正した。
anonymousインターフェースにおいて、ip pp secure filter nameコマンドを設定していない場合に、接続時にRADIUSでフィルターセットの名前を指定されても、そのフィルターセットの動的フィルターが適用されないバグを修正した。
pp auth usernameコマンドでIPv6アドレスを設定できるバグを修正した。
IPv6アドレスはIPv6プレフィックスに変換するようにした。
DHCPリレーエージェントとして動作するとき、ブリッジインターフェース上の端末がDHCPでIPアドレスを取得できないバグを修正した。
ファストパスでNAT変換を行ったときにIPヘッダのチェックサム値もこれに応じて書き換えるが、本来は0x0100になるはずが0x0000になることが稀にあるバグを修正した。
IPマスカレードで、FTPのPORT/EPRTコマンドの再送パケット、またはPASV/EPSVコマンドのレスポンスの再送パケットが通過すると、NATエントリのTTLの値が不正な値に更新されるバグを修正した。
Rev.10.01.24以降で発生する。
Luaのrt.socket.dns.toip関数で、AAAAレコードが引けるFQDNを引数にすると、正常に名前解決ができないバグを修正した。ソケット通信ライブラリはIPv6に対応していないため、AAAAレコードではなくAレコードを引くようにした。
INTEGER型のMIB変数で負数を取得できないバグを修正した。
Rev.10.01.24以降で発生する。
snmp ifindex switch static indexコマンドを1つも設定せず、snmp yrswindex switch static indexコマンドを設定しているとき、yrSwIndexを固定しているスイッチのポートについてlinkUpトラップとlinkDownトラップを送出しないバグを修正した。
SNMPで、LAN分割またはタグVLANを使用しているLANインターフェースに対してclear status lanコマンドを実行しても、MIBのifInErrors変数の値がクリアされないバグを修正した。
ルーター経由のSNMPで、スイッチの状態を取得できないことがあるバグを修正した。
PPTP接続でトンネルの端点をドメイン名(FQDN)で指定しているとき、自機からの接続要求と相手側からの接続要求、および対応するドメイン名のIPアドレスの更新のタイミングが重なると、当該PPTP上の通信が行えなくなることがあるバグを修正した。
OSPFv2でエリア境界ルーター(ABR)として動作しているとき、バックボーンエリアに存在するAS境界ルーター(ASBR)への経路が不正になったり、誤ったメトリック値を含むタイプ4のLSA(ASBR Summary-LSA)をバックボーンエリアに隣接するエリアに広告したりすることがあるバグを修正した。
以下の条件に当てはまる場合に発生する。
OSPFv3で、ネイバーのリンクローカルアドレスの取得に失敗することがあるバグを修正した。本バグが発現すると、該当するネイバーが広告する経路を経由した通信ができなくなり、また、show ipv6 routeコマンドでその経路のゲートウェイが"-"と表示される。
スイッチ制御機能でSWX2200を管理しているときにルーターのファームウェアの更新を実行すると、不要な同期処理が行われることがあるバグを修正した。
スイッチ制御機能の無線APに対するゼロコンフィグ機能で、以下の条件をすべて満たす場合に、工場出荷状態で起動せずファイル名が「経路.conf」のコンフィグファイルを読み込んでしまうバグを修正した。
以下のコマンドを実行したときに、L2TPのためのポートが開放された旨のSYSLOGが出力されることがあるバグを修正した。
clear ip dynamic routingコマンドを実行したときに、以下の経路が消えてしまうバグを修正した。
mobile useコマンドで、first-connect-wait-timeオプションに値が入力されていない場合でも入力エラーとならないバグを修正した。
複数のshow系コマンドをコピー&ペースト等で連続入力を行ったときに、正常に入力できないことがあるバグを修正した。
Rev.10.01.53以降で発生する。
以下のコマンドでPP ANONYMOUS01の情報しか処理されていないバグを修正した。
以下のコマンドのコマンドヘルプの誤記を修正した。
GUIの以下の項目でネットマスクの入力が省略できないバグを修正した。
GUIの[ルーティング]-[経路情報のサマリー]-[経路情報の詳細]で、OSPFの外部経路情報を表示するときに「E」と表示されるべき箇所に「エリア」と表示されるバグを修正した。
GUIの[パケットフィルター]から任意のインターフェースの[フィルターの設定]を開いたとき、「挿入」アイコンが表示されないバグを修正した。
Rev.10.01.59で発生する。
GUIの[パケットフィルター]-[動的フィルター]で設定できないプロトコルを ip dynamic filterコマンドで設定し、GUIの[パケットフィルター]-[動的フィルター]で当該フィルターを選択して設定を変更しようとするとリブートするバグを修正した。このようなフィルターはGUIでは変更できないため、変更しようとするとエラー表示される。
GUIの以下のページで、L2TP/IPsecの設定名が表示されないバグを修正した。