ネットワーク機器トップ > DNSに関する脆弱性の問題について |
DNSに関する脆弱性の問題について |
2006年04月25日 初版 2006年06月19日 FITELnet-F80の対応情報を追加 2006年06月19日 FITELnet-F100(Ver2系)の対応情報を追加 2006年07月03日 FITELnet-F1000(Ver2系)の対応情報を追加 2006年07月24日 FITELnet-F120の対応情報を追加 2006年07月31日 FITELnet-F100(Ver1系)の対応情報を追加 2006年07月31日 FITELnet-F1000(Ver1系)の対応情報を追加 2007年02月15日 NISCC のリンクを修正 2008年05月14日 NISCC のリンクを修正 2008年10月29日 FITELnet-F40の対応情報を追加 |
○概要DNSプロトコルの実装において、脆弱性の問題が確認されております。この 脆弱性を攻撃することにより、様々な問題が発生する場合があることが指摘さ れています。・参考情報 |
○当社製品に対する影響当社製品に対する影響は次の通りです。
|
○回避方法以下の方法により、本脆弱性の影響を回避することが可能となります。・ProxyDNS機能を利用しない ・PKI用リゾルバ機能を利用しない 以下の方法により、本脆弱性の影響を緩和できる場合があります。 ・ProxyDNSにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する ・PKI用リゾルバにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する |
○設定方法以下の方法により、各機能をOFFもしくは利用しないようにできます。1.ProxyDNS 機能 ・FITELnet-F80/F100/F120/F1000 proxydns mode コマンドを削除することで、ProxyDNS 機能を off にすることができます(デフォルトでは設定されておらず、off です)。 ・FITELnet-F40 proxydns off と設定することで ProxyDNS 機能を off にすることができます(デフォルトの設定は on です)。 ・FITELnet-E20/E30 コマンドにより、ProxyDNS 機能を off にすることはできません。 ProxyDNS 機能を使わない場合、次のようにフィルタリングすることで、本脆弱性を回避することができます。 |
ipfiltering -d add dst=192.168.1.254,255.255.255.255 dstport=53,53 src=0.0.0.0,0.0.0.0 prot=tcp/udp recvif=lan half*FITELnet-E20/E30 の LAN インターフェースの IP アドレスが 192.168.1.254 の場合。
2.PKI リゾルバ機能 PKI リゾルバ機能は off にすることはできません。 Phase 1 の認証で証明書を利用しない場合、本機能は利用されません。 証明書を使って認証する場合でも、CRL による証明書の有効性確認を行わない場合、本機能は利用されません。 CRL による証明書の有効性確認を行う場合でも、CRL を LDAP サーバから取得できる場合は、本機能を利用しないようにすることができます。 各機種の詳細について下記に示します。 ・FITELnet-F80/F100/F120/F1000 crypto ca identity 設定モードにおいて、crl-optional must に設定されている、もしくは、crl-optional を設定していない場合、CRL による証明書の有効性確認を行います。 そして、crypto ca identity 設定モードにおいて、name-server が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。 crypto ca identity 設定モードにおいて、query-ip が設定されていて、LDAP サーバから CRL を取得できるような場合、name-server を削除することで、PKI リゾルバ機能を利用しないようにすることができます。 ・FITELnet-F40 および MUCHO-EV/PK vpncertparam コマンドで、crl=must もしくは crl=use に設定されている場合、CRL による証明書の有効性確認を行います。 そして、vpncertparam コマンドで、nameserver が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。 vpncertparam コマンドで、ldapserver が設定されていて、LDAP サーバから CRL を取得できるような場合、nameserver=0.0.0.0 とすることで、PKI リゾルバ機能を利用しないようにすることができます。 |
○対策ファームウェア影響を受ける製品について、本脆弱性に対応したファームウェアを現在準備中です。提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。 ・FITELnet-F80 :V01.01(01)のファームウェアにて対策しました(2006/06/19)。 ・FITELnet-F100 :V02.05(01)のファームウェアにて対策しました(2006/06/19)。 ・FITELnet-F1000 :V02.05(01)のファームウェアにて対策しました(2006/07/03)。 ・FITELnet-F120 :V02.02(01)のファームウェアにて対策しました(2006/07/24)。 ・FITELnet-F100 :V01.21(03)のファームウェアにて対策しました(2006/07/31)。 ・FITELnet-F1000 :V01.12(02)のファームウェアにて対策しました(2006/07/31)。 ・FITELnet-F40 :V03.16のファームウェアにて対策しました(2008/10/29)。 |
このページに関するお問い合わせは こちら まで |
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006 |