ネットワーク機器トップヘッダー
ネットワーク機器トップ > DNSに関する脆弱性の問題について


DNSに関する脆弱性の問題について


2006年04月25日 初版
2006年06月19日 FITELnet-F80の対応情報を追加
2006年06月19日 FITELnet-F100(Ver2系)の対応情報を追加
2006年07月03日 FITELnet-F1000(Ver2系)の対応情報を追加
2006年07月24日 FITELnet-F120の対応情報を追加
2006年07月31日 FITELnet-F100(Ver1系)の対応情報を追加
2006年07月31日 FITELnet-F1000(Ver1系)の対応情報を追加
2007年02月15日 NISCC のリンクを修正
2008年05月14日 NISCC のリンクを修正
2008年10月29日 FITELnet-F40の対応情報を追加

○概要

 DNSプロトコルの実装において、脆弱性の問題が確認されております。この 脆弱性を攻撃することにより、様々な問題が発生する場合があることが指摘さ れています。


・参考情報

○当社製品に対する影響

当社製品に対する影響は次の通りです。

×:影響あり
−:当該機能をサポートしているが影響なし
=:当該機能をサポートしていないため影響なし
製品名 ProxyDNS/cl ProxyDNS/sv Resolver PKI-Resolver
FITELnet-F100 × ×
FITELnet-F1000 × ×
FITELnet-F80 × ×
FITELnet-F120 × ×
FITELnet-F40 × ×
FITELnet-E20/E30 ×
MUCHO-EV/PK ×
FITELnet-F3000
◎ProxyDNS/clは下位クライアントに対する影響
◎ProxyDNS/svは上位DNSサーバに対する影響

○回避方法

以下の方法により、本脆弱性の影響を回避することが可能となります。
・ProxyDNS機能を利用しない
・PKI用リゾルバ機能を利用しない

以下の方法により、本脆弱性の影響を緩和できる場合があります。
・ProxyDNSにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する
・PKI用リゾルバにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する

○設定方法

以下の方法により、各機能をOFFもしくは利用しないようにできます。

1.ProxyDNS 機能

・FITELnet-F80/F100/F120/F1000
proxydns mode コマンドを削除することで、ProxyDNS 機能を off にすることができます(デフォルトでは設定されておらず、off です)。

・FITELnet-F40
proxydns off と設定することで ProxyDNS 機能を off にすることができます(デフォルトの設定は on です)。

・FITELnet-E20/E30
コマンドにより、ProxyDNS 機能を off にすることはできません。
ProxyDNS 機能を使わない場合、次のようにフィルタリングすることで、本脆弱性を回避することができます。

 ipfiltering -d add dst=192.168.1.254,255.255.255.255 dstport=53,53 src=0.0.0.0,0.0.0.0 prot=tcp/udp recvif=lan half

 *FITELnet-E20/E30 の LAN インターフェースの IP アドレスが 192.168.1.254 の場合。


2.PKI リゾルバ機能

PKI リゾルバ機能は off にすることはできません。
Phase 1 の認証で証明書を利用しない場合、本機能は利用されません。
証明書を使って認証する場合でも、CRL による証明書の有効性確認を行わない場合、本機能は利用されません。
CRL による証明書の有効性確認を行う場合でも、CRL を LDAP サーバから取得できる場合は、本機能を利用しないようにすることができます。
各機種の詳細について下記に示します。

・FITELnet-F80/F100/F120/F1000
crypto ca identity 設定モードにおいて、crl-optional must に設定されている、もしくは、crl-optional を設定していない場合、CRL による証明書の有効性確認を行います。
そして、crypto ca identity 設定モードにおいて、name-server が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
crypto ca identity 設定モードにおいて、query-ip が設定されていて、LDAP サーバから CRL を取得できるような場合、name-server を削除することで、PKI リゾルバ機能を利用しないようにすることができます。

・FITELnet-F40 および MUCHO-EV/PK
vpncertparam コマンドで、crl=must もしくは crl=use に設定されている場合、CRL による証明書の有効性確認を行います。
そして、vpncertparam コマンドで、nameserver が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
vpncertparam コマンドで、ldapserver が設定されていて、LDAP サーバから CRL を取得できるような場合、nameserver=0.0.0.0 とすることで、PKI リゾルバ機能を利用しないようにすることができます。

○対策ファームウェア

影響を受ける製品について、本脆弱性に対応したファームウェアを現在準備中です。
提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。

・FITELnet-F80 :V01.01(01)のファームウェアにて対策しました(2006/06/19)。
・FITELnet-F100 :V02.05(01)のファームウェアにて対策しました(2006/06/19)。
・FITELnet-F1000 :V02.05(01)のファームウェアにて対策しました(2006/07/03)。
・FITELnet-F120 :V02.02(01)のファームウェアにて対策しました(2006/07/24)。
・FITELnet-F100 :V01.21(03)のファームウェアにて対策しました(2006/07/31)。
・FITELnet-F1000 :V01.12(02)のファームウェアにて対策しました(2006/07/31)。
・FITELnet-F40 :V03.16のファームウェアにて対策しました(2008/10/29)。


このページに関するお問い合わせは こちら まで

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006