本文へジャンプ

ルータ・スイッチ GS/GRシリーズ

uVALUE 実業×IT

Hitachi

1.対象製品

GR2000/GR4000/GS4000/GS3000 既存の全ソフトウェアバージョン

2.概要

TCPプロトコル(Transmission Control Protocol、RFC793)は、高信頼なIP通信をおこなうためのトランスポート層のプロトコルです。TCPによる通信では、エンド−エンド間においてTCPコネクションを確立し、コネクション毎に送達確認、再送制御、順序性保証などを行い、高信頼なデータ通信を保証します。またTCPによる通信では、ウィンドウと呼ばれる送受信バッファ単位で、エンドーエンド間のフロー制御をおこないます。

TCPプロトコルでは、確立したコネクションを切断する際にはRST(リセット)フラグを立てたパケットを送信することによりコネクションの切断をおこないます。RFC793ではRSTパケットに含まれるシーケンス番号が、現在の待ち受けウィンドウの範囲内であればRSTを受理しコネクションを切断する仕様となっています。ある程度広い範囲でRSTを受理する仕様を悪用された場合、遠隔の攻撃者からIPアドレスを詐称してRSTパケットを無作為に送信することにより、確立済みのTCPコネクションを実時間で切断される可能性があります。また、RSTだけではなくSYN(確立要求)フラグを立てたパケット受信に関しても、同種の脆弱性を持ちます。

3.影響

TCPコネクションを実時間で遠隔の第三者から切断される可能性があります。特に、BGPのように比較的長い時間に渡って同一のTCPコネクションを維持するプロトコルの場合には、コネクション切断のDoS攻撃が成功する危険性が高まります。

4.回避策

本脆弱性はRFC793に従った全てのTCP実装で共通のもので、現時点での回避方法はありません。

5.対策バージョンおよび対策版リリース日程

GR2000/GR4000/GS4000/GS3000の全てのソフトウェアバージョンに上記の脆弱性が存在します。本脆弱性に対し耐性を高めたソフトウェアを以下の日程でリリース致します。本対策によりRFC793とはRSTおよびSYN受信時の動作が異なる実装となりますが、従来のTCP実装と比較して約6万5000倍攻撃を成功させることが困難となり耐性が高まります。

対策版リリース日程
対象製品 型名 対策バージョン リリース日
GR2000ルーティングソフトウェア
(ROUTE-OS)
S-9181-11 02-03-/U
GR2000ルーティングソフトウェア2
(ROUTE-OS2)
S-9181-21 04-01-/AD
GR2000ルーティングソフトウェア3
(ROUTE-OS3)
S-9181-31 06-05-/AL
GR2000ルーティングソフトウェア6
(ROUTE-OS6)
S-9181-61 07-04-/J
GR2000ルーティングソフトウェア6B
(ROUTE-OS6B)
S-9181-6B 07-04-/J
GR2000ルーティングソフトウェア6BSEC
(ROUTE-OS6BSEC)
S-9181-6BSEC 07-04-/J
(*2)
GR2000ルーティングソフトウェア7
(ROUTE-OS7)
S-9181-71 07-04-/K
GR2000ルーティングソフトウェア7B
(ROUTE-OS7B)
S-9181-7B 07-04-/K
GR2000ルーティングソフトウェア8
(ROUTE-OS8)
S-9181-81 08-03-/E
GR2000ルーティングソフトウェア8SSH
(ROUTE-OS8SSH)
S-9181-8SSH 08-03-/E
(*2)
GR2000ルーティングソフトウェア8B
(ROUTE-OS8B)
S-9181-8B 08-03-/E
GR2000ルーティングソフトウェア8BSSH
(ROUTE-OS8BSSH)
S-9181-8BSSH 08-03-/E
(*2)
GR2000ルーティングソフトウェア8BSEC
(ROUTE-OS8BSEC)
S-9181-8BSEC 08-03-/E
(*2)
GR2000ルーティングソフトウェア8BE
(ROUTE-OS8BE)
S-9181-8BE 08-03-/E
(*2)
GR4000ルーティングソフトウェア
(OS-R)
S-9182-11 08-03-/P
GR4000ルーティングソフトウェア
(OS-RE)
S-9182-21 08-03-/P
(*2)
GS4000スイッチングソフトウェア
(OS-SW)
S-9183-11 08-03-/P
GS4000スイッチングソフトウェア
(OS-SWE)
S-9183-21 08-03-/P
(*2)
GS3000スイッチングソフトウェア
(OS-SW)
S-9184-11 08-05-/C
GS3000スイッチングソフトウェア
(OS-SWE)
S-9184-21 08-05-/C
(*2)

*2:暗号化ソフトウェアはソフトウェア添付資料のみダウンロード可能です。
ソフトウェア本体は媒体で提供いたしますので、送付先をご連絡願います。

6.対策バージョンの入手方法

対策版ソフトウェアの入手につきましては、弊社担当営業へお問い合わせください。