DNSに関する脆弱性の問題について

ネットワーク機器トップ　>　DNSに関する脆弱性の問題について

DNSに関する脆弱性の問題について

2005年06月15日初版
2005年06月30日 FITELnet-F100/F1000（Ver1系）の対応情報を追加
2005年07月07日 FITELnet-F100/F1000（Ver2系）の対応情報を追加
2005年10月11日 FITELnet-F40の対応情報を追加
2006年01月17日 FITELnet-E20/E30の対応情報を追加
2006年05月19日 FITELnet-F120の対応情報を追加
2007年02月15日 NISCC のリンクを修正
2008年05月14日 NISCC のリンクを修正

○概要

この脆弱性は、DNS パケットに含まれる不正な圧縮データにより、第三者から DoS 状態を引き起こされる可能性があるというものです。

・参考情報

○当社製品に対する影響

当社製品に対する影響は次の通りです。

×：影響あり
－：当該機能をサポートしているが影響なし
＝：当該機能をサポートしていないため影響なし

製品名	ProxyDNS 機能	リゾルバ機能 *1	PKI リゾルバ機能 *2
FITELnet-F100/F120/F1000	×	－	×
FITELnet-F40	×	＝	× *3
FITELnet-E20/E30	×	＝	＝
MUCHO-EV/PK	＝	＝	×
その他のMUCHOシリーズ	＝	＝	＝

*1：装置自身が名前解決する場合に利用されます（例：コンソールからの ping で、宛先を host 名で指定するような場合）。
*2：IPsec で証明書を利用する場合に、CRL の配布ポイントが URL で指定されている場合の名前解決に利用されます。
*3：PKI 機能はオプション対応。

○回避方法

当該機能を利用する場合、この脆弱性を回避する方法はありません。
当該機能を off にする、あるいは利用しないようにするには、次のようにします。

１．ProxyDNS 機能

・FITELnet-F100/F120/F1000
proxydns mode コマンドを削除することで、ProxyDNS 機能を off にすることができます（デフォルトでは設定されておらず、off です）。

・FITELnet-F40
proxydns off と設定することで ProxyDNS 機能を off にすることができます（デフォルトの設定は on です）。

・FITELnet-E20/E30
コマンドにより、ProxyDNS 機能を off にすることはできません。
ProxyDNS 機能を使わない場合、次のようにフィルタリングすることで、本脆弱性を回避することができます。


　ipfiltering -d add dst=192.168.1.254,255.255.255.255 dstport=53,53 src=0.0.0.0,0.0.0.0 prot=tcp/udp recvif=lan half

　＊FITELnet-E20/E30 の LAN インターフェースの IP アドレスが 192.168.1.254 の場合。

２．PKI リゾルバ機能

PKI リゾルバ機能は off にすることはできません。
Phase 1 の認証で証明書を利用しない場合、本機能は利用されません。
証明書を使って認証する場合でも、CRL による証明書の有効性確認を行わない場合、本機能は利用されません。
CRL による証明書の有効性確認を行う場合でも、CRL を LDAP サーバから取得できる場合は、本機能を利用しないようにすることができます。
各機種の詳細について下記に示します。

・FITELnet-F100/F120/F1000
crypto ca identity 設定モードにおいて、crl-optional must に設定されている、もしくは、crl-optional を設定していない場合、CRL による証明書の有効性確認を行います。
そして、crypto ca identity 設定モードにおいて、name-server が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
crypto ca identity 設定モードにおいて、query-ip が設定されていて、LDAP サーバから CRL を取得できるような場合、name-server を削除することで、PKI リゾルバ機能を利用しないようにすることができます。

・FITELnet-F40 および MUCHO-EV/PK
vpncertparam コマンドで、crl=must もしくは crl=use に設定されている場合、CRL による証明書の有効性確認を行います。
そして、vpncertparam コマンドで、nameserver が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
vpncertparam コマンドで、ldapserver が設定されていて、LDAP サーバから CRL を取得できるような場合、nameserver=0.0.0.0 とすることで、PKI リゾルバ機能を利用しないようにすることができます。

○対策ファームウェア

影響を受ける製品について、本脆弱性に対応したファームウェアを現在準備中です。
提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。

・FITELnet-F100　：V01.21(00)のファームウェアにて対策しました(2005/06/30)。
・FITELnet-F1000　：V01.12(00)のファームウェアにて対策しました(2005/06/30)。
・FITELnet-F100　：V02.01(01)のファームウェアにて対策しました(2005/07/07)。
・FITELnet-F1000　：V02.01(01)のファームウェアにて対策しました(2005/07/07)。
・FITELnet-F40　：V03.15のファームウェアにて対策しました(2005/10/11)。
・FITELnet-F120　：V02.01(00)のファームウェアにて対策しました(2005/11/24)。
・FITELnet-E30　：V02.08のファームウェアにて対策しました(2006/01/17)。
・FITELnet-E20　：V01.16のファームウェアにて対策しました(2006/01/17)。

このページに関するお問い合わせはこちらまで
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006