GR2000/GR4000/GS4000/GS3000 既存の全ソフトウェアバージョン
TCPプロトコル(Transmission Control Protocol,RFC793)は、高信頼なIP通信を行うための、トランスポート層のプロトコルです。TCPを使用したアプリケーションを実行中に、当該TCPセッション間で発生したように成りすましたICMPエラーメッセージにて攻撃をされると、コネクション切断やスループットが低下する場合があります。
装置がIPv4/IPv6 TCPコネクションを利用している通信(telnetやBGPなど)に対して、遠隔の第三者からの攻撃が成功する可能性があります。特に、BGPのように比較的長い時間に渡って同一のTCPコネクションを維持するプロトコルの場合は、コネクションのDoS攻撃が成功する危険性が高まります。
報告されている各種ICMPメッセージについての弊社ネットワーク製品への影響を以下に示します。なお、本装置を経由するIPv4/IPv6パケットの中継処理については影響ありません。
下記のエラーメッセージにて攻撃された場合、パスMTUが置き換えられるため、不要なフラグメントによるスループット低下が発生する可能性があります。
また、以下のエラーメッセージにて攻撃されてもスループットの低下は殆ど発生しません。
下記のエラーメッセージにて攻撃されても、TCPコネクションが切断されることはありません。
BGPなど長時間コネクションを維持するものについては、本装置宛のICMPエラーメッセージを廃棄するようなフィルタ設定を行なってください。
下記の全てのソフトウェアバージョンに上記の脆弱性が存在します。本脆弱性に対し耐性を高めたソフトウェアを以下の日程でリリース致します。本対策版のソフトウェアは、従来のTCP実装と比較して、攻撃を成功させることが困難となり耐性が高まります。
対象製品 | 型名 | 対策バージョン | リリース日 |
---|---|---|---|
GR2000ルーティングソフトウェア (ROUTE-OS) |
S-9181-11 | 02-03-/W | 済 |
GR2000ルーティングソフトウェア2 (ROUTE-OS2) |
S-9181-21 | 04-01-/AG | 済 |
GR2000ルーティングソフトウェア3 (ROUTE-OS3) |
S-9181-31 | 06-05-/AR | 済 |
GR2000ルーティングソフトウェア6 (ROUTE-OS6) |
S-9181-61 | 07-04-/AA | 済 |
GR2000ルーティングソフトウェア6B (ROUTE-OS6B) |
S-9181-6B | 07-04-/W | 済 |
GR2000ルーティングソフトウェア6BSEC (ROUTE-OS6BSEC) |
S-9181-6BSEC | 07-04-/W | 済 |
GR2000ルーティングソフトウェア7 (ROUTE-OS7) |
S-9181-71 | 07-04-/W | 済 |
GR2000ルーティングソフトウェア7B (ROUTE-OS7B) |
S-9181-7B | 07-04-/W | 済 |
GR2000ルーティングソフトウェア8 (ROUTE-OS8) |
S-9181-81 | 08-03-/R | 済 |
GR2000ルーティングソフトウェア8SSH (ROUTE-OS8SSH) |
S-9181-8SSH | 08-03-/R | 済 |
GR2000ルーティングソフトウェア8B (ROUTE-OS8B) |
S-9181-8B | 08-03-/R | 済 |
GR2000ルーティングソフトウェア8BSSH (ROUTE-OS8BSSH) |
S-9181-8BSSH | 08-03-/R | 済 |
GR2000ルーティングソフトウェア8BSEC (ROUTE-OS8BSEC) |
S-9181-8BSEC | 08-03-/R | 済 |
GR2000ルーティングソフトウェア8BE (ROUTE-OS8BE) |
S-9181-8BE | 08-03-/R | 済 |
GR4000ルーティングソフトウェア (OS-R) |
S-9182-11 | 09-02-/C | 済 |
GR4000ルーティングソフトウェア (OS-RE) |
S-9182-21 | 09-02-/C | 済 |
GS4000スイッチングソフトウェア (OS-SW) |
S-9183-11 | 09-02-/C | 済 |
GS4000スイッチングソフトウェア (OS-SWE) |
S-9183-21 | 09-02-/C | 済 |
GS3000スイッチングソフトウェア (OS-SW) |
S-9184-11 | 09-02-/C | 済 |
GS3000スイッチングソフトウェア (OS-SWE) |
S-9184-21 | 09-02-/C | 済 |
対策版ソフトウェアの入手につきましては、弊社担当営業へお問い合わせください。