OpenSSLの以下の脆弱性対応を行った。
IKEv2 の PKI証明書を利用した認証(「デジタル署名方式」および「EAP-MD5方式」)を行う場合に該当する。
この脆弱性の影響により、メモリリークやリブート、ハングアップなどが発生する可能性がある。
クリックジャッキング脆弱性対応を行った。
(JPCERT/CC JVNVU#481356583)
L2MSで、SWX2300およびWLX202に対応した。
ただし、Web GUIのLANマップにおける以下の機能には未対応
モバイルインターネット機能で、以下のデータ通信端末に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
BGP経路強制広告機能に対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/bgp/bgp_force-to-advertise.html
外部仕様書をよくご確認のうえ、ご利用ください。
BGPのTCP MD5認証機能に対応した。
○TCP MD5認証の事前共有鍵の設定
Web GUIへ一般ユーザー権限(ログインユーザー権限)でアクセスしたときに閲覧可能な画面を、ユーザーごとに設定できるようにした。
○ユーザーの属性を設定
| 設定値 | 説明 |
|---|---|
| ユーザー名 | 登録されているユーザー名 |
| *radius | RADIUS認証でログインするすべてのユーザー |
| * | すべてのユーザー |
| 設定値 | 説明 |
|---|---|
| on | administratorコマンドにより管理ユーザーに昇格することができる。またGUIの管理者ページへ接続することができる。管理者パスワードを用いてSFTP接続を行うことができる。 |
| off | administratorコマンドにより管理ユーザーに昇格することができない。またGUIの管理者ページへ接続することができない。管理者パスワードを用いてSFTP接続を行うことができない。 |
| 設定値 | 説明 |
|---|---|
| off | すべての接続を禁止する。 |
| all | すべての接続を許可する。 |
| serial | シリアルコンソールからの接続を許可する。 |
| telnet | TELNETによる接続を許可する。 |
| ssh | SSHによる接続を許可する。 |
| sftp | SFTPによる接続を許可する。 |
| remote | リモートセットアップによる接続を許可する。 |
| http | GUI設定画面への接続を許可する。 |
| 設定値 | 説明 |
|---|---|
| all | ログインユーザーでアクセスできるすべての画面の閲覧を許可する。 |
| dashboard | ダッシュボード画面の閲覧を許可する。 |
| lan-map | LANマップ画面の閲覧を許可する。 |
| config | かんたん設定画面、詳細設定画面、管理画面、CONFIG画面およびTECHINFO画面の閲覧を許可する。 |
| 設定値 | 説明 |
|---|---|
| IPアドレス | 指定したホストからの接続を許可する。 |
| any | すべてのホストからの接続を許可する。 |
| インターフェースー名 | 指定したインタフェースからの接続を許可する。 |
| 設定値 | 説明 |
|---|---|
| on | 同一ユーザー名によるTELNET、SSH、HTTPでの複数接続を許可する。 |
| off | 同一ユーザー名によるTELNET、SSH、HTTPでの複数接続を禁止する。 |
| 設定値 | 説明 |
|---|---|
| 数値 (※) | キー入力がない場合に自動的にログアウトするまでの秒数。 |
| clear | ログインタイマーを設定しない。 |
ユーザーの属性を設定する。
userを省略した場合は、無名ユーザーの属性を設定する。
userに*radiusを指定した場合は、RADIUS認証でログインするすべてのユーザーの属性を設定する。
userにアスタリスク(*)を指定した場合は、すべてのユーザーに対して設定を有効にする。ただし、ユーザー名を指定した設定がされている場合は、その設定が優先される。
すでに管理ユーザーに昇格しているユーザーに対して、このコマンドでadministrator属性をoffに変更しても、そのユーザーはexitコマンドにより一般ユーザーに降格するか、 あるいはログアウトするまでは管理ユーザーで居続けることができる。
connection属性では、off、all以外の値はコンマ(,)でつないで複数指定することができる。
すでに接続しているユーザーに対して、このコマンドでconnection属性またはhost属性により接続を禁止しても、そのユーザーは切断するまでは接続を維持し続けることができる。
host属性では、TELNET、SSH、SFTP及びHTTPで接続できるホストを設定する。指定できるIPアドレスは、1個のIPアドレスまたは間にハイフン(-)をはさんだIPアドレス(範囲指定)、およびこれらをコンマ(,)でつないだものである。
gui-page属性では、all以外の値はコンマ(,)でつないで複数指定することができる。 ★
本属性で設定した設定内容は、ログインユーザーとしてログインしたときのみ有効となる。管理ユーザーとしてログインした場合は、本属性の設定にかかわらず、常にGUI上のすべての画面を閲覧する権限を持つ。 ★
すでにGUIに接続中のユーザーに対してこのコマンドで本属性の設定が変更された場合、次にGUI上のページにアクセスした時点から新しい設定が反映される。 ★
multi-session属性では、TELNET、SSH、HTTPでの複数接続の可否を設定する。この属性をoffに変更しても、シリアルとTELNETやリモートセットアップとSSHなど、接続方法が異なる場合は同じユーザー名で接続することができる。
すでに複数の接続があるユーザーに対して、このコマンドでmulti-session属性をoffに変更しても、そのユーザーは切断するまでは接続を維持し続けることができる。
無名ユーザーに対してはSSH、SFTPによる接続を許可することができない。無名ユーザーに対してはTELNETでの複数接続はできない。
TELNET、SSH、SFTP、HTTPで接続した場合、login-timer属性の値がclearに設定されていても、タイマ値は300秒として扱う。
login timerコマンドの設定値よりも、本コマンドのlogin-timer属性の設定値が優先される。
administrator属性をoffに設定してGUIの管理者ページへの接続を制限できるのはRev.10.00系以降のファームウェアである。
connection属性にhttpを指定できるのはRev.10.00系以降のファームウェアである。sftpを指定できるのは SRT100 Rev.10.00.60以降、RTX1200 Rev.10.01.22以降のファームウェア、および、Rev.11.01系以降のファームウェアである。
gui-page属性を設定できるのは、RTX1210 Rev.14.01.11以降のファームウェアである。 ★
Rev.10.00.31でlogin-timer属性の下限値を30から120に変更した。
本コマンドにより、すべてのユーザーの接続を禁止する、またはすべてのユーザーが管理ユーザーに昇格できないといった設定を行った場合、ルーターの設定変更や状態確認などができなくなるので注意する必要がある。
IKEv2で、CHILD SAの作成方法を変更できるようにした。
○CHILD SA作成方法の設定
| 設定値 | 説明 |
|---|---|
| 1 | ヤマハルーターのIKEv2の従来の動作との互換性を保持する |
| 2 | CREATE_CHILD_SA交換を一部の実装にあわせる |
ソフトウェアの著作権情報を表示するコマンドを追加した。
また、起動時やログイン時に表示されていた著作権情報は表示されなくなった。
○ソフトウェアの著作権情報の表示
ソフトウェアの著作権情報を表示する。
detailを指定することで、条文を含めたソフトウェアの著作権情報を表示することができる。
Luaスクリプト機能で、以下の変更を行った。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
SSHサーバー公開鍵を生成するときに、2048ビットの鍵長を選択できるようにした。また、セキュリティーの観点からseedパラメーターの入力を無視するようにした。
○SSH サーバーホスト鍵の設定
SSHサーバーのホスト鍵を設定する。
bitパラメーターによって、生成する鍵のビット数を指定できる。 ★
SSHサーバー機能およびSFTPサーバー機能を利用する場合は、事前に本コマンドを実行してホスト鍵を生成する必要がある。
既にホスト鍵が設定されている状態で本コマンドを実行した場合、ユーザーに対してホスト鍵を更新するか否かを確認する。
ホスト鍵の生成には、機種によって異なるが、1024ビット鍵では数秒から数分程度、2048ビットの鍵では数分から十数分程度の時間がかかる。 ★
TFTPで設定を取得した場合は、sshd host key generate [bit=bit] key1 key2 key3という形式で保存される。 ★
key1〜key3は、秘密鍵を機器固有の方式で暗号化した文字列である。
SSHサーバー公開鍵の鍵指紋を表示するパラメーターを追加した。
○SSHサーバー公開鍵の表示
SSH サーバーの公開鍵を表示する。
fingerprint キーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示する。 ★
dns hostコマンドで複数のインターフェースを指定できるようにした。
○DNSサーバーへアクセスできるホストのIPアドレス設定
| 設定値 | 説明 |
|---|---|
| 1個のIPアドレスまたは間にハイフン(-)を はさんだIPアドレス(範囲指定) |
指定されたIPアドレスを持つホストからのアクセスを許可する |
| any | すべてのホストからのアクセスを許可する |
| lan | すべてのLANポート側ネットワーク内ならば許可する |
| lanN | 指定されたLAN ポート側ネットワーク内ならば許可する(Nは任意のインタフェース番号) |
| vlanN | 指定されたポートベースVLANインターフェースからのアクセスを許可する(Nは任意のVLANインターフェース番号) |
| lanN/M | 指定されたVLANインターフェースからのアクセスを許可する(Nは任意のインターフェース番号、Mは任意のサブインターフェース番号) |
| none | すべてのホストからのアクセスを禁止する |
DNSサーバー機能へのアクセスを許可するホストを設定する。
any、lan、noneは単独でのみ指定可能。 ★
このコマンドでLANインターフェースを指定した場合には、ネットワークアドレスとlimited broadcast addressを除くIPアドレスからのアクセスを許可する。
指定したLANインターフェースにプライマリーアドレスもセカンダリーアドレスも設定していなければ、アクセスを許可しない。
clear logコマンドにsavedオプションを追加した。
このオプションを指定することで、show log savedコマンドを実行したときに表示されるログをクリアすることができる。
○ログのクリア
ログをクリアする。
savedを指定することで、show log savedコマンドを実行したときに表示されるログをクリアすることができる。★
ブリッジインターフェースに収容されたLANインターフェースではQoS機能は使用できない仕様であるため、bridge memberコマンドによってブリッジに収容されたLANインターフェースに対して、queue typeコマンドでfifo以外を指定した場合、入力エラーとなるようにした。
また、queue typeコマンドでfifo以外が指定されたLANインターフェースをbridge memberコマンドで指定した場合も同様に入力エラーとなる。
温度監視によって出力されるSYSLOGメッセージを以下のように変更した。
Web GUIの推奨WebブラウザーからIE9、IE10を除外した。
推奨Webブラウザーに関する詳細な情報については、以下のURLをご覧ください。
http://www.rtpro.yamaha.co.jp/RT/FAQ/gui/browser.html
Web GUIのLANマップのタグVLAN画面で、タグVLANを新規作成/削除したときに、DNSサーバーへアクセスできるホストの設定もそれに合わせて変更されるようにした。
Web GUIのLANマップで、LANマップから制御できない未対応のスレーブを表すアイコンを変更した。
Web GUIのかんたん設定の[基本設定]-[LAN1 アドレス]-[IPv4アドレスの設定]、および詳細設定の[LAN]-[IPv4アドレスの設定]で、LANインターフェースのIPアドレスを変更するときに自動的に変更されるIPアドレスとして、以下のものを追加した。
Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改善した。
Web GUIのヘルプの[全般]-[その他]-[切断コード表]で、以下の切断コードの説明を追記した。
IPsecトンネル(※)を使用してハブ・アンド・スポーク型のVPN構成を組んでおり、IPsec トンネルから受信したパケットを、そのままルーター内部で折り返して別の IPsec トンネルへ転送する経路が存在するとき、その経路を使用する通信に断続的に高負荷がかかり続けるとSYSLOGに下記のいずれかのエラーログ(DEBUGレベル)が出力されるようになり、IPsec 通信ができなくなったり、ハングアップやリブートが発生したりすることがあるバグを修正した。
なお、ハブ拠点のルーターのみでこの問題が発生する可能性があり、一度発生すると再起動するまで IPsec 機能が動作しなくなる。また、ファストパスを無効にしている場合はこの問題は発生しない。
※ IPsec トンネルは、L2TPv2/IPsec および L2TPv3/IPsec を使用するトンネルも含む。
LANマップのメール通知機能で、本文の内容が2048Byteを超えるメールの送信のリトライが発生したとき、リブートすることがあるバグを修正した。
URLフィルター機能で、以下の条件をすべて満たしたときに、リブートしたりブロック画面で表示される「キーワード」の一部が欠けたりすることがあるバグを修正した。
ipsec transportコマンドで、プロトコルまたは始点ポートリストのパラメーターを省略して実行したときにリブートするバグを修正した。
Rev.14.01.09で発生する。
IPマスカレードで、TCPのNATセッション数が多いときに既存のTCPのNATセッションが削除されると稀にリブートすることがあるバグを修正した。
ただし、nat descriptor backward-compatibilityコマンドが1に設定されているときは本バグは発現しない。
IPマスカレードで、IPマスカレード変換セッション数制限機能によってTCPのNATセッションの作成が制限されたとき、外側ポートが使用中のままになり、TCPセッションが新規に開始できなくなったり、メモリリークが発生したりするバグを修正した。
ただし、nat descriptor backward-compatibilityコマンドが1に設定されているときは本バグは発現しない。
Rev.14.01.07以降で発生する。
PPTPで、接続処理が始動するときメモリリークが発生するバグを修正した。
モバイルインターネット機能の WAN インターフェース接続で、リモートアクセスの相手にルーター自ら DHCP サーバーとして IPアドレスを割り当てる設定のとき、LAN インターフェースがリンクアップしていない状態で PPTP および L2TP/IPsec を使用したリモートアクセスVPN接続を受けると、DHCP サーバーの DHCP スコープ内のアドレスがすべて使用中の状態になってしまい、IPアドレスを割り当てることができなくなるバグを修正した。
IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由するノーマルパスの通信が行えなくなることがあるバグを修正した。
IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由する通信が行えないバグを修正した。
IPsecで、以下のすべての条件を満たす場合に、正しい設定であっても接続が確立しないバグを修正した。
IKEv2で、ipsec sa deleteコマンドでIKE SAを削除するとき、ipsec ike message-id-controlコマンドがonに設定されていると対向にDelete要求を送信しないことがあるバグを修正した。
Rev.14.01.09で発生する。
IKEv2で、IKE SAのリキー後にipsec sa deleteコマンドでCHILD SAを削除すると、トンネルがアップしなくなることがあるバグを修正した。
L2TP/IPsecで、クライアントに対してDNSサーバー情報が通知されず、名前解決を伴う通信ができないことがあるバグを修正した。
L2TPv3で、tunnel endpoint nameコマンドによって接続先のドメイン名(FQDN)が指定されている場合、接続処理が始動しないことがあるバグを修正した。
L2TPv3で、トンネルの接続中に以下のコマンドによって接続先が変更された場合に、再接続に失敗することがあるバグを修正した。
データコネクト拠点間接続機能で、送信するパケットがファストパスで処理されるときに、パケットの優先度を示すIPv6ヘッダのトラフィッククラスの値が低くなるバグを修正した。
PPTP でトンネルの端点をドメイン名(FQDN)で指定しているとき、自機からの接続要求と相手側からの接続要求、および対応するドメイン名のIPアドレスの更新のタイミングが重なると、当該 PPTP 上の通信が行えなくなることがあるバグを修正した。
anonymousインターフェースにおいて、mynameオプションを付けてpp auth usernameコマンドが設定されている場合に同じユーザー名とパスワードを使った複数の接続を同時に受けることができないバグを修正した。
OSPFv2でエリア境界ルーター(ABR)として動作しているとき、バックボーンエリアに存在するAS境界ルーター(ASBR)への経路が不正になったり、誤ったメトリック値を含むタイプ4のLSA (ASBR-summary-LSA)をバックボーンエリアに隣接するエリアに広告したりすることがあるバグを修正した。以下の条件に当てはまる場合に発生する。
OSPFv2で、他のOSPFルーターから受信したタイプ5のLSA(AS-external-LSA)の寿命が尽きたとき、当該LSAに含まれる外部経路は無効な経路であるにもかかわらず、有効な経路として扱われることがあるバグを修正した。
OSPFv3で、ネイバーのリンクローカルアドレスの取得に失敗することがあるバグを修正した。 本バグが発現すると、該当するネイバーが広告する経路を経由した通信ができなくなり、また、show ipv6 routeコマンドでその経路のゲートウェイが"-"と表示される。
MLDで、MLDv2のMLDルーターとして動作しているとき、ソースリストが空のレポートを新規に受信すると、プロキシ情報とルーティング情報にマルチキャストグループが追加されないバグを修正した。
IPv6でPPPoE接続をしているとき、clear status lanコマンドを実行してもshow status lanコマンドで表示されるIPv6の送受信パケット数がクリアされないバグを修正した。
ファストパスで、ISDN回線/専用線、PPTPのトンネルまたはモバイルインターネットを介したデータパケットを受信したときに、ファストパスの処理対象ではないにもかかわらずフローが生成されるバグを修正した。
INTEGER型のMIB変数で負数を取得できないバグを修正した。
SNMPで、yrIfTable配下のMIB変数にBRIDGE1のインターフェース番号をIndexとして指定すると、不正なインターフェース情報が取得されるバグを修正した。
ファームウェアファイルや設定ファイルの書き込みが同時に発生したとき、書き込みが失敗する可能性を排除した。
DHCPサーバー機能で、一部のDHCPリレーサーバーから受信したDHCPパケットを処理できないバグを修正した。
Rev_14.01.09 で発生する。
L2MSの無線APに対するゼロコンフィグ機能で、以下の条件をすべて満たす場合に、工場出荷状態で起動せずファイル名が「経路.conf」のコンフィグファイルを読み込むバグを修正した。
異常動作によりリブートしたときに、リブート前のSYSLOGが消えたりshow statusbootコマンドで表示される起動理由が"Power-on boot"になることがあるバグを修正した。
SFTP接続で、ファイルやディレクトリの情報を表示したときに不正な更新日時が表示されるバグを修正した。
以下のコマンドでPP ANONYMOUS01の情報しか処理されないバグを修正した。
clear mobile access limitationコマンドで、USBインターフェースを指定して実行しても、指定したUSBポートをバインドしているWANインターフェースの累積のカウンター情報がクリアされず、発信制限が解除されないバグを修正した。
interface resetコマンドでインターフェースに USB/SD インターフェースを指定して実行したとき、または USB バスリセットが発生したときに、デバイスが正しくリセットされないバグを修正した。
Rev.14.01.09で発生する。
show status tunnelコマンドで、L2TPv3トンネルのインターフェースの種類が表示されないバグを修正した。
show status bgp neighbor advertised-routesコマンドの実行結果で、各パラメーターの値として不正な値が出力されるバグを修正した。
以下のコマンドのコマンドヘルプの誤記を修正した。
Web GUIのダッシュボードのプロバイダー接続状態ガジェットで、PPPoE接続が切断されているときに表示されるツールチップの「接続時間」の内容が英語で表示されるバグを修正した。
Web GUIのLANマップの一覧マップ画面で、WLX302のVAP16(5GHz)に接続している端末が表示されないバグを修正した。
Web GUIのLANマップの一覧マップ画面で、SWX2200-24Gが、LANマップから制御できない未対応のヤマハスイッチの機器アイコンで表示されるバグを修正した。
WebGUIのLANマップの機器一覧画面で、一般ユーザー権限でログインしているときに以下のCSVファイルをダウンロードするためのURLに直接アクセスすると、それぞれのCSVファイルがダウンロードできるバグを修正した。
Web GUIのLANマップのタグVLAN画面で、iOSの端末から利用しているときに、VLANの参加ポートを選択する際にポートアイコンを2回タップしなければならないバグを修正した。
Web GUIのLANマップのタグVLAN画面で、VLANの参加ポートを選択するときに、アップリンクポートをクリックしてもポートがアクセスポートとして選択され、上位のスレーブのアップリンクポートおよびダウンリンクポートが自動選択されないバグを修正した。
Web GUIのLANマップのタグVLAN画面で、制御中のスイッチのポートに設定されているタグVLANを削除するときに、対象のスイッチがルーターに接続されているにもかかわらず、「ダウン中のスイッチに設定されているVLAN IDです。」と表示され削除できないことがあるバグを修正した。
Web GUIのLANマップのタグVLAN画面で、VLANの参加ポートの設定を変更したときに、アップリンクポートおよびダウンリンクポートのポートアイコンの色が正しく切り替わらないことがあるバグを修正した。
Web GUIのLANマップのマルチプルVLAN画面で、Webブラウザーのウィンドウ幅が小さい状態でSWX2200-24GのマルチプルVLAN設定を行うと、「マルチプルVLANの設定ビュー」内のポートアイコンでウィンドウからはみ出した部分が表示されず、はみ出したポートを選択することができないバグを修正した。
Web GUIのかんたん設定の[プロバイダー接続]で、IPv6 IPoE接続またはIPv6 PPPoE接続のプロバイダーを登録しても、設定が保存されないバグを修正した。
Rev.14.01.09で発生する。
Web GUIのかんたん設定の[VPN]-[拠点間接続]で、固定のIPアドレスが設定されているPPインターフェースを指定してIPIPトンネルの設定を追加すると、当該IPIPトンネル上で正しく通信できないことがあるバグを修正した。
Web GUIのかんたん設定の以下の画面で、ユーザー名またはパスワードに以下の記号が含まれているときに、ユーザー名およびパスワードの文字列が画面上に正しく表示されないバグを修正した。
Web GUIのかんたん設定の[VPN]-[リモートアクセス]で、ユーザー名とパスワードの両方に以下のいずれかの記号を使用して登録ユーザーの新規作成または追加変更を行ったときに、ユーザー名にパスワードと同じ文字列が設定されるバグを修正した。
Web GUIの詳細設定の[NAT]-[NATディスクリプターの設定]で、変換方法としてIPマスカレードを選択したときに、静的NATの設定の入力欄がグレーアウトするバグを修正した。
Web GUIの詳細設定の[NAT]-[NATディスクリプターの設定]で、静的IPマスカレードのポート番号を「外側ポート番号=内側ポート番号」の形式で指定して静的IPフィルターの自動設定を有効にすると、 設定の確定時にエラーが表示され静的IPフィルターの設定が行われないバグを修正した。
Web GUIの管理の[アクセス管理]-[ユーザーの設定]で、「接続方法の制限」の設定で「すべて許可する」を選択して設定した後にルーターを再起動して再度同設定画面を開くと、同項目の現在の設定内容として「指定した接続方法を許可する」が選択されているバグを修正した。
Web GUIの以下の画面で、表示されるメッセージの誤記および表記ゆれを修正した。