最終更新日 2008/10/17
US-CERT Vulnerability Note VU#472363
Date: October 2, 2008
Topic:IPv6 NDP routing table vulnerability
詳細につきましては以下の URL をご参照ください(新規ウインドウが開きます)。
IPv6の近隣探索プロトコルは、on-link(*注)ではない他装置からの近隣要請(Neighbor Solicitation:以降NSとします)メッセージに対して、以下のような挙動をとります。
(*注):RFC2461,4861で定義されている用語です。ここでは、イーサネット等の物理インタフェースで接続され、レイヤ2通信が相互にできる全ての端末において、インタフェースに設定された全てのIPv6アドレスのプレフィックスが一致している状態とします。
悪意のある攻撃者が、on-linkではないプレフィックスを持つ発信元アドレスを使用したNSメッセージを送信することにより、任意のIPv6アドレスとMACアドレスをNDPエントリとして登録させることができ、これにより意図しない通信が可能となってしまう危険性があります。
なお、この攻撃はIPv6としてon-linkの装置からのみ可能であり、ルータ越えを伴う遠隔の装置からおこなうことはできません。 弊社製品では、以下の一覧表に示す装置で本脆弱性の影響を受けます。
| No. | 装置シリーズ名 | 対象ソフトウェア製品略称 |
|---|---|---|
| 1 | GR2000 | ROUTE-OS6, ROUTE-OS65, ROUTE-OS7, ROUTE-OS8 |
| 2 | GR2000 Bモデル |
ROUTE-OS6B, ROUTE-OS65B, ROUTE-OS7B, ROUTE-OS8B, ROUTE-OS8BSEC,ROUTE-OS8BE |
| 3 | GR4000 | OS-R, OS-RE |
| 4 | GS4000 | OS-SW, OS-SWE |
| 5 | GS3000 | OS-SW, OS-SWE |
インタフェースに設定されたIPv6アドレスのプレフィックス以外の発信元アドレスを持つNSメッセージをフィルタで廃棄することで回避可能です。
現在、対応の方針を検討しております。対策版のリリース及び、日程が決定いたしましたら、本ページ掲載にて連絡をいたします。ご迷惑をお掛けいたしますが、当面は【5.回避方法】にて運用いただきますようお願い申し上げます。
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
