| ネットワーク機器トップ > TCP実装のICMPエラーメッセージの処理に関する脆弱性の問題について |
TCP実装のICMPエラーメッセージの処理に関する脆弱性の問題について |
| 2005年4月19日 初版 2005年5月31日 FITELnet-F40の対応情報を追加 2005年6月17日 FITELnet-F100/F1000(Ver2系)の対応情報を追加 2005年6月30日 FITELnet-F100/F1000(Ver1系)の対応情報を追加 2006年1月17日 FITELnet-E20/E30の対応情報を追加 2006年5月19日 FITELnet-F120の対応情報を追加 2007年2月15日 NISCC と IETF のリンクを修正 2008年5月14日 NISCC のリンクを修正 |
○概要TCP/IPの実装において、ICMPメッセージの処理に関する脆弱性の問題が確認されております。これはICMPメッセージを悪用することにより、TCPのコネクションをリセットしたり、スループットの低下を引き起こしたりできるというもので、以下のような問題が指摘されております。
・参考情報
○当社製品に対する影響当社製品に対する影響は次の通りです。概要で示した1の問題をHard Error、2の問題をPMTUD、3の問題をSource Quenchとしています。 [IPv4]
[IPv6]
○回避方法該当パケットをフィルタリングすることにより、本脆弱性を回避することができます。FITELnet-F100/F1000の場合、ICMPのtype、codeまで指定することができますが、FITELnet-F40、E20/E30、MUCHOシリーズについては、ICMPパケット全体をフィルタリングすることになります。 ・FITELnet-F100/F120/F1000の例 次のように設定することで、PPPoE1インターフェースに対するICMPv4のSource Quenchメッセージをフィルタリングすることができます。 access-list 100 deny icmp any any source-quench interface pppoe 1 ip access-group 100 in interfaceまた、次のように設定することで、EWAN1インターフェースに対するICMPv6のPacket Too Bigメッセージをフィルタリングすることができます(PMTUD問題対策)。 access-list 3500 deny icmpv6 any 2002:0901::1/64 packet-too-big interface ewan 1 ipv6 address 2002:0901::1/64 ipv6 access-group 3500 in ・FITELnet-F40、E20/E30、MUCHOシリーズの例 次のように設定することで、全てのICMPパケットをフィルタリングすることができます。 ipfiltering -d add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 prot=icmp ○対策ファームウェア各製品について、本脆弱性に対応したファームウェアを現在準備中です。提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。 ・FITELnet-F40 :V03.14のファームウェアにて対策しました(2005/05/31)。 ・FITELnet-F100 :V02.01(00)のファームウェアにて対策しました(2005/06/17)。 ・FITELnet-F1000 :V02.01(00)のファームウェアにて対策しました(2005/06/17)。 ・FITELnet-F100 :V01.21(00)のファームウェアにて対策しました(2005/06/30)。 ・FITELnet-F1000 :V01.12(00)のファームウェアにて対策しました(2005/06/30)。 ・FITELnet-F120 :V02.01(00)のファームウェアにて対策しました(2005/11/24)。 ・FITELnet-E30 :V02.08のファームウェアにて対策しました(2006/01/17)。 ・FITELnet-E20 :V01.16のファームウェアにて対策しました(2006/01/17)。 |
|
このページに関するお問い合わせは こちら まで |
|
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006 |
|