http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_65.html Revision : 10.01.65 Release : Oct. 2015, ヤマハ株式会社 Rev.10.01.65 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX1200 Rev.10.01.59 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2014-3570 (JPCERT/CC JVNVU#98974537) - CVE-2014-8275 (JPCERT/CC JVNVU#98974537) - CVE-2015-0287 (JPCERT/CC JVNVU#95877131) - CVE-2015-0292 (JPCERT/CC JVNVU#95877131) - CVE-2015-1789 (JPCERT/CC JVNVU#91445763) CVE-2015-1789の脆弱性については、IKEv2のPKI証明書を利用した認証(「デジタル署 名方式」および「EAP-MD5方式」)を行う場合に該当し、この脆弱性の影響によりルー ターがリブートする可能性がある。 [2] クリックジャッキング脆弱性対応を行った。 (JPCERT/CC JVNVU#48135658) ■機能追加 [1] スイッチ制御機能で、SWX2100に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - au Speed USB STICK U01 (モデムモード) - FUJISOFT FS020U - NTTコム UX302NC Ver.1.0.5以降 http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] L2TPv3で、ブリッジインターフェースに収容した物理LANインターフェース上でVLAN インターフェースを使用することができるようにした。 http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/#tagvlan 外部仕様書をよくご確認のうえ、ご利用ください。 [4] SSHサーバー応答に含まれるOpenSSHのバージョン情報を隠匿できるようにした。 ○SSHサーバー応答に含まれるOpenSSHのバージョン情報の非表示設定 [書式] sshd hide openssh version USE no sshd hide openssh version [USE] [設定値及び初期値] USE [設定値] : ------------------------------------- 設定値 説明 ------------------------------------- on バージョン情報を表示しない off バージョン情報を表示する ------------------------------------- [初期値] : off [説明] SSH接続時のサーバー応答に含まれるOpenSSHのバージョン情報を表示するか否か を設定する。 このコマンドはセキュリティー目的としてOpenSSHのバージョン情報を隠匿した い場合に使用する。 このコマンドをonに設定した場合は、サーバー応答は "SSH-2.0-OpenSSH" とな る。 [ノート] このバージョン情報は、SSH接続時にサーバーとクライアントのプロトコルの互 換性を調整するために使用される。 このため、このコマンドをONに設定することにより、クライアントのソフトに よっては、接続できなくなる可能性がある。 その場合には、クライアントソフトを変更するか、このコマンドの設定をOFFに する。 [5] DHCPの動作をインターフェースごとに設定できるようにした。 ○インターフェースごとのDHCPの動作の設定 [書式] ip INTERFACE dhcp service TYPE [HOST1 [HOST2 [HOST3 [HOST4]]]] no ip INTERFACE dhcp service [設定値及び初期値] INTERFACE [設定値]: LANインターフェース名、ブリッジインターフェース名 [初期値]: - TYPE [設定値]: ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- off DHCPサーバーとしてもDHCPリレーエージェント としても機能しない server DHCPサーバーとして機能させる relay DHCPリレーエージェントとして機能させる ----------------------------------------------------------------- [初期値]:- HOST1...HOST4 [設定値]: DHCPサーバーのIPアドレス [初期値]: - [説明] インターフェースごとにDHCPの動作を設定する。 DHCPサーバーを設定した場合には、ネットワークアドレスが合致するDHCPスコー プからIPアドレスを1つ割り当てる。 DHCPリレーエージェントを設定した場合には、HOSTを設定する必要があり、この HOSTへDHCP DISCOVERパケットおよびDHCP REQUESTパケットを転送する。 offに設定した場合には、DHCPサーバーとしてもDHCPリレーエージェントとして も動作せず、DHCPパケットは破棄される。 本設定が無い場合は、dhcp serviceコマンドの設定に従う。dhcp serviceコマン ドの設定と本設定の両方がある場合には、本設定が優先される。 [6] 無線APやスイッチの設定内容を表示するコマンドを追加した。 ○指定した無線APの設定内容の表示 [書式] show config ap [AP] less config ap [AP] [設定値および初期値] AP [設定値]: - MACアドレスもしくは経路 - 省略時は、選択されている無線APについて表示する [初期値]: - [説明] show config、less configコマンドの表示の中から、指定した無線APに関するも のだけを表示する。 ○指定したスイッチの設定内容の表示 [書式] show config switch [SWITCH] less config switch [SWITCH] [設定値および初期値] SWITCH [設定値]: - MACアドレスもしくは経路 - 省略時は、選択されているスイッチについて表示する [初期値]: - [説明] show config、less configコマンドの表示の中から、指定したスイッチに関する ものだけを表示する。 [7] STATUS LEDの点灯の原因となっているインターフェースを参照するためのコマンドを 追加した。 ○STATUS LEDの点灯に関する履歴の表示 [書式] show status status-led [history] [設定値及び初期値] history : インターフェースの状態変化の履歴を表示する [説明] STATUS LEDの点灯の原因となっているインターフェースの一覧と状態変化の履歴 を表示する。 ■仕様変更 [1] 外部データベース参照型URLフィルター機能ではSSLを使用して通信を暗号化している が、その際に暗号強度の弱い暗号アルゴリズムを使用しないようにした。 [2] モバイルインターネット機能で、データ通信端末へのコマンド送信に失敗したときは データ通信端末の再アタッチ処理を行い復旧できるようにした。 [3] モバイルインターネット機能で、網に接続している状態でATコマンドの送信が可能な モバイル端末に対しては、execute at-commandコマンドを実行できるようにした。 [4] モバイルインターネット機能で、USB STICK LTE HWD12の網からの切断処理を変更し た。 [5] モバイルインターネット機能で、モバイル端末がアタッチされていない状態で、WAN インターフェースに対する発呼要求があった場合に、INFOレベルで以下のログを出力 するようにした。 - "WAN1 Mobile device is not attached. Call request is rejected" [6] Luaスクリプト機能で、以下の変更を行った。 - rt.command関数で、コマンド実行のログを出力するか否かを指定できるようにした。 - Luaスクリプト機能バージョンを1.07とした。 http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [7] interface resetコマンドのパラメーターにUSBとSDを追加した。 ○インターフェースの再起動 [書式] interface reset INTERFACE [INTERFACE ...] [設定値及び初期値] INTERFACE [設定値]: - LANインターフェース名 - WANインターフェース名 - BRIインターフェース名 - PRIインターフェース名 - USBインターフェース名 ★ - SDインターフェース名 ★ [初期値]: - [説明] 指定したインターフェースを再起動する。 LANインターフェースでは、オートネゴシエーションする設定になっていればオー トネゴシエーション手順が起動される。 BRIとPRIインターフェースを使用中に回線種別をline typeコマンドで変更した場 合には、本コマンドでインターフェースを再起動する必要がある。 BRIとPRIインターフェースでMPを使用している場合にはinterface reset ppコマ ンドを使用する。 USBとSDインターフェースでは、ポートの給電がOFF,ONされ、USBデバイスや microSDカードの再アタッチが行われる。 [ノート] RTX1500,RTX1100,RTX810,RT107e,SRT100 では、LAN1またはLAN2に対してこのコマ ンドを実行すると、LAN1およびLAN2インターフェースが同時にリセットされる。 RTX5000/RTX3500 RTX1200では、いずれか一つのLANインターフェースに対してこ のコマンドを実行すると、すべてのLANインターフェースが同時にリセットされる。 LANインターフェースだけを持つモデルでは、INTERFACEパラメーターにはLANイン ターフェース名のみ指定可能。 WANインターフェースはRev.10.01.32以降のRTX1200、Rev.10.00.60以降のSRT100、 RTX1210、RTX810で指定可能。 USBインターフェースはRev.14.01.09以降のRTX1210、Rev.11.01.25以降のRTX810、 Rev.10.01.65以降のRTX1200で指定可能。★ SDインターフェースはRev.14.01.09以降のRTX1210、Rev.11.01.25以降のRTX810、 Rev.10.01.65以降のRTX1200で指定可能。★ line typeコマンド、pp bindコマンド、経路情報などすべての設定を整えた後に 実行する。対象とするインターフェースがバインドされているすべての相手先情 報番号の通信を停止した状態で、また回線種別を変更する場合には回線を抜いた 状態で実行すること。 [8] L2TP/IPsecおよびL2TPv3を用いたL2VPNで、セッション数が多いときの性能を改善し た。 [9] 温度監視によって出力されるSYSLOGメッセージを以下のように変更した。 - 閾値を超えたとき SYSTEM ALARM (over T1): Temperature 80 [C.] - 閾値を下回ったとき SYSTEM ALARM (under T2): Temperature 75 [C.] ■バグ修正 [1] upnp port mapping timer typeコマンドがarp(初期値)に設定にしてあり、なおかつ ポートマッピングのエントリが存在するとき、稀にリブートが発生することがあるバ グを修正した。 [2] show pki certificate summaryコマンドを実行したとき、メモリの不正解放が発生し、 リブートやハングアップが発生することがあるバグを修正した。 [3] console infoコマンドがonに設定されており、ルーターの起動時や起動後に一度でも シリアルコンソールを接続したことがある場合、その後シリアルコンソールを切断し た状態が長時間経過すると、稀にルーターの動作が不安定になったり、リブートする ことがあるバグを修正した。 [4] IPv6 QoSを設定してあるとき、IPv6の通信が発生した直後に稀にリブートすることが あるバグを修正した。 [5] interface reset briコマンドを短い時間で連続して実行したときに、稀にコンソー ルの反応がなくなり、数時間後にリブートすることがあるバグを修正した。 [6] PPTPで、接続処理が始動するときにメモリリークが発生するバグを修正した。 [7] UPnP機能で、属性を3つ以上持つ要素を含むXML文書のパケットを受信するとメモリリー クが発生するバグを修正した。 [8] ipsec transport templateコマンドで設定が集約されているとき、展開先となるIDに 対してipsec transportコマンドを実行または削除するとメモリリークが発生するバ グを修正した。 [9] URLフィルターを使用しているとき、チェックしたHTTPリクエストにHostフィールド またはRefererフィールドが複数含まれているとメモリリークが発生するバグを修正 した。 [10] モバイルインターネット機能で、網に接続した状態でrestartコマンドなどによって ルーターの再起動を行うと、ごく稀にUSIMカードが故障することがあるバグを修正 した。 [11] モバイルインターネット機能で、USB STICK LTE HWD12を使用したとき、稀にアタッ チに失敗することがあるバグを修正した。 [12] モバイルインターネット機能で、以下のバグを修正した。 - 接続時間監視の制限までの時間の表示が、不正な値になることがある - 期間累積の接続時間による発信制限が正しく機能しないことがある [13] PPPoE接続上でIPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行われる と、トンネルを介した通信が行えなくなることがあるバグを修正した。 PPPoEサーバーへの静的経路が設定されるなど、PPPoEの再接続により経路情報が変 化しない場合かつファストパスが有効な場合に発生する。 [14] PPPoE接続上でL2TP/IPsecまたはL2TPv3/IPsecを利用する場合、トンネルアップ後に PPPoEの再接続が行われると、トンネルを介した通信が行えなくなることがあるバグ を修正した。 ファストパスが有効な場合に発生する。 [15] IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由するノーマルパス の通信が行えなくなることがあるバグを修正した。 - LANインターフェースまたはWANインターフェースでDHCPによってIPアドレスを取 得する設定がされている - 上記インターフェースをゲートウェイとしてIPsecが確立する - トンネルインターフェースでipsec ike local addressコマンドが設定されていな い [16] IPsecで、回線の一時的な切断/接続などによるトンネルダウン/アップをきっかけと して、不当にキープアライブ断が検知されSTATUSランプが点灯し続けることがある バグを修正した。 [17] IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由する通信が行えな いバグを修正した。 - ipsec ike esp-encapsulationコマンドによってESPパケットがUDPでカプセル化さ れる設定が有効になっている - UDPでカプセル化されたパケットの送信先となるゲートウェイと、ESPパケットの 送信先となるゲートウェイが異なる - UDPでカプセル化されたパケットがファストパスで送信される [18] IKEv2で、IKE SAのリキー後にipsec sa deleteコマンドでCHILD SAを削除すると、 トンネルアップできなくなることがあるバグを修正した。 [19] ブリッジインターフェースを端点として接続が確立したL2TPv3で、トンネルを経由 する通信が行えないバグを修正した。 [20] L2TPv3を用いたL2VPNで、ブリッジインターフェースに収容されたLANインター フェースに対してIN方向の不正アクセス検知が設定してあるとき、フラグメントさ れたパケットがブリッジングされずに破棄されてしまうバグを修正した。 [21] L2TPv3で、ブリッジインターフェースで受信したパケットを経路情報に従って送信 するときに、受信したインターフェースから送信できないバグを修正した。 Rev.10.01.59で発生する。 [22] L2TPv3で、ブリッジインターフェースで受信したパケットを経路情報に従ってブリッ ジインターフェースから送信するとき、イーサネットヘッダフィールドが不正なパ ケットが送信されてしまうバグを修正した。 ファストパスが有効な場合に発生する。 [23] データコネクト拠点間接続機能で、ipsec ike remote nameコマンドが設定されてい る状態で当コマンドの設定を削除すると、ナンバー・ディスプレイ契約無しの回線 にも関わらず着信に応答してしまうバグを修正した。 元々設定がされていない状態でルーターを起動した場合には問題は発生しない。 [24] データコネクト拠点間接続のIPsecトンネルで、接続要求を受信したとき、稀にIKE の認証に失敗してトンネルがアップしないことがあるバグを修正した。 [25] データコネクト拠点間接続機能およびデータコネクトリモートセットアップ機能で、 接続できない相手からの着信にエラーを返すと、直後に接続できる相手に発信して も正常に接続できないバグを修正した。 [26] PP anonymousの名前によるルーティング設定により自動接続するときに、その契機 となるパケットが出力フィルターで破棄する条件に一致した場合に、anonymousイン ターフェースを持ちきってしまい、以降の着信に応答しなくなるバグを修正した。 Rev.10.01.36以降で発生する。 [27] anonymousインターフェースにおいて、pp auth usernameコマンドで相手に割り当て るIPアドレスを指定した場合にimplicit経路が生成されるが、この設定を消したと きにこの経路が消えないバグを修正した。 [28] anonymousインターフェースにおいて、ip pp secure filter nameコマンドを設定し ていない場合に、接続時にRADIUSでフィルターセットの名前を指定されても、その フィルターセットの動的フィルターが適用されないバグを修正した。 [29] pp auth usernameコマンドでIPv6アドレスを設定できるバグを修正した。 IPv6アドレスはIPv6プレフィックスに変換するようにした。 [30] DHCPリレーエージェントとして動作するとき、ブリッジインターフェース上の端末 がDHCPでIPアドレスを取得できないバグを修正した。 [31] ファストパスでNAT変換を行ったときにIPヘッダのチェックサム値もこれに応じて書 き換えるが、本来は0x0001になるはずが0x0000になることが稀にあるバグを修正し た。 [32] IPマスカレードで、FTPのPORT/EPRTコマンドの再送パケット、またはPASV/EPSVコマ ンドのレスポンスの再送パケットが通過すると、NATエントリのTTLの値が不正な値 に更新されるバグを修正した。 Rev.10.01.24以降で発生する [33] Luaのrt.socket.dns.toip関数で、AAAAレコードが引けるFQDNを引数にすると、正常 に名前解決ができないバグを修正した。ソケット通信ライブラリはIPv6に対応して いないため、AAAAレコードではなくAレコードを引くようにした。 [34] INTEGER型のMIB変数で負数を取得できないバグを修正した。 Rev.10.01.24以降で発生する。 [35] snmp ifindex switch static indexコマンドを1つも設定せず、snmp yrswindex switch static indexコマンドを設定しているとき、yrSwIndexを固定しているスイッ チのポートについてlinkUpトラップとlinkDownトラップを送出しないバグを修正し た。 [36] SNMPで、LAN分割またはタグVLANを使用しているLANインターフェースに対してclear status lanコマンドを実行しても、MIBのifInErrors変数の値がクリアされないバグ を修正した。 [37] ルーター経由のSNMPで、スイッチの状態を取得できないことがあるバグを修正した。 [38] PPTP接続でトンネルの端点をドメイン名(FQDN)で指定しているとき、自機からの接 続要求と相手側からの接続要求、および対応するドメイン名のIPアドレスの更新の タイミングが重なると、当該PPTP上の通信が行えなくなることがあるバグを修正し た。 [39] OSPFv2でエリア境界ルーター(ABR)として動作しているとき、バックボーンエリアに 存在するAS境界ルーター(ASBR)への経路が不正になったり、誤ったメトリック値を 含むタイプ4のLSA(ASBR Summary-LSA)をバックボーンエリアに隣接するエリアに広 告したりすることがあるバグを修正した。以下の条件に当てはまる場合に発生する。 - バックボーンエリア側のインターフェースはDROther、隣接する他のエリア側のイ ンターフェースはDRとして動作している - 両エリアに隣接するABRが当該ルーター以外にも存在する - 当該ルーターのバックボーンエリア側のインターフェースがダウンして、当該ルー ターを経由していたASBRへの経路が別のABR経由に切り替わり、その後ダウンして いたインターフェースが再度アップした [40] OSPFv3で、ネイバーのリンクローカルアドレスの取得に失敗することがあるバグを 修正した。本バグが発現すると、該当するネイバーが広告する経路を経由した通信 ができなくなり、また、show ipv6 routeコマンドでその経路のゲートウェイが"-" と表示される。 [41] スイッチ制御機能でSWX2200を管理しているときにルーターのファームウェアの更新 を実行すると、不要な同期処理が行われることがあるバグを修正した。 [42] スイッチ制御機能の無線APに対するゼロコンフィグ機能で、以下の条件をすべて満 たす場合に、工場出荷状態で起動せずファイル名が「経路.conf」のコンフィグファ イルを読み込んでしまうバグを修正した。 - ap config filenameコマンドが設定されていない - ファイル名が「MACアドレス.conf」のコンフィグファイルが存在しない - ファイル名が「経路.conf」のコンフィグファイルが存在する [43] 以下のコマンドを実行したときに、L2TPのためのポートが開放された旨のSYSLOGが 出力されることがあるバグを修正した。 - l2tp service off l2tp - l2tp service off l2tpv3 - l2tp service off l2tp l2tpv3 [44] clear ip dynamic routingコマンドを実行したときに、以下の経路が消えてしまう バグを修正した。 - pp auth usernameコマンドで設定したIPアドレスに対応する経路 - ip tunnel addressコマンドで設定したIPアドレスに対応する経路 - loopbackインターフェースに設定したIPアドレスに対応する経路 [45] mobile useコマンドで、first-connect-wait-timeオプションに値が入力されていな い場合でも入力エラーとならないバグを修正した。 [46] 複数のshow系コマンドをコピー&ペースト等で連続入力を行ったときに、正常に入 力できないことがあるバグを修正した。 Rev.10.01.53以降で発生する。 [47] 以下のコマンドでPP ANONYMOUS01の情報しか処理されていないバグを修正した。 - show url filter - show url filter external-database - show url filter pp anonymous - show url filter external-database pp anonymous - clear url filter pp anonymous - clear url filter external-database pp anonymous [48] 以下のコマンドのコマンドヘルプの誤記を修正した。 - bridge member - vlan INTERFACE 802.1q [49] GUIの以下の項目でネットマスクの入力が省略できないバグを修正した。 - [IPsec]-[XAUTHのユーザーの設定]-[新しいユーザーグループの追加]の割り当て るIPアドレスの範囲 - [IPsec]-[XAUTHのユーザーの設定]-[新しいユーザーの追加]のIPアドレスの範囲 [50] GUIの[ルーティング]-[経路情報のサマリー]-[経路情報の詳細]で、OSPFの外部経路 情報を表示するときに「E」と表示されるべき箇所に「エリア」と表示されるバグを 修正した。 [51] GUIの[パケットフィルター]から任意のインターフェースの[フィルターの設定]を開 いたとき、「挿入」アイコンが表示されないバグを修正した。 Rev.10.01.59で発生する。 [52] GUIの[パケットフィルター]-[動的フィルター]で設定できないプロトコルを ip dynamic filterコマンドで設定し、GUIの[パケットフィルター]-[動的フィルター] で当該フィルターを選択して設定を変更しようとするとリブートするバグを修正し た。このようなフィルターはGUIでは変更できないため、変更しようとするとエラー 表示される。 [53] GUIの以下のページで、L2TP/IPsecの設定名が表示されないバグを修正した。 - [インターフェース]の全インターフェースのサマリー - [パケットフィルター]の全インターフェースのサマリー - [URLフィルター]の全インターフェースのサマリー - [不正アクセス検知]の全インターフェースのサマリー ■更新履歴 Oct. 2015, Rev.10.01.65 リリース Oct. 2015, Rev.10.01.65 脆弱性対応[2] 追加 以上