本文へジャンプ

ルータ・スイッチ GS/GRシリーズ

uVALUE 実業×IT

Hitachi

最終更新日 2008/10/17

1.出典

US-CERT Vulnerability Note VU#472363
Date: October 2, 2008
Topic:IPv6 NDP routing table vulnerability

詳細につきましては以下の URL をご参照ください(新規ウインドウが開きます)。

2.概要

IPv6の近隣探索プロトコルは、on-link(*注)ではない他装置からの近隣要請(Neighbor Solicitation:以降NSとします)メッセージに対して、以下のような挙動をとります。

  1. 当該NSメッセージに発信元リンク層オプションが添付されている場合、発信元アドレスをNDPエントリとして登録します。発信元アドレスのプレフィックスが経路表に存在しなくてもホスト経路相当として登録されます。
  2. 当該NSメッセージに対して近隣広告(Neighbor Advertisement:以降NA)メッセージを返信します。

(*注):RFC2461,4861で定義されている用語です。ここでは、イーサネット等の物理インタフェースで接続され、レイヤ2通信が相互にできる全ての端末において、インタフェースに設定された全てのIPv6アドレスのプレフィックスが一致している状態とします。

3.影響

悪意のある攻撃者が、on-linkではないプレフィックスを持つ発信元アドレスを使用したNSメッセージを送信することにより、任意のIPv6アドレスとMACアドレスをNDPエントリとして登録させることができ、これにより意図しない通信が可能となってしまう危険性があります。

なお、この攻撃はIPv6としてon-linkの装置からのみ可能であり、ルータ越えを伴う遠隔の装置からおこなうことはできません。 弊社製品では、以下の一覧表に示す装置で本脆弱性の影響を受けます。

4.対象製品

対象製品
No. 装置シリーズ名 対象ソフトウェア製品略称
1 GR2000 ROUTE-OS6, ROUTE-OS65, ROUTE-OS7, ROUTE-OS8
2 GR2000
Bモデル
ROUTE-OS6B, ROUTE-OS65B, ROUTE-OS7B, ROUTE-OS8B,
ROUTE-OS8BSEC,ROUTE-OS8BE
3 GR4000 OS-R, OS-RE
4 GS4000 OS-SW, OS-SWE
5 GS3000 OS-SW, OS-SWE

5.回避方法

インタフェースに設定されたIPv6アドレスのプレフィックス以外の発信元アドレスを持つNSメッセージをフィルタで廃棄することで回避可能です。

6.今後の対応について

現在、対応の方針を検討しております。対策版のリリース及び、日程が決定いたしましたら、本ページ掲載にて連絡をいたします。ご迷惑をお掛けいたしますが、当面は【5.回避方法】にて運用いただきますようお願い申し上げます。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。