脆弱性情報

偽造されたACKに対するTCPのプロトコル仕様の脆弱性(更新)

影響:小
報告日 2005/12/12
更新日 2005/12/12

概要

偽造された ACK (Optimistic ACK) に対する TCP の脆弱性により、トラフィック増大および帯域占有が生じ、他の通信が影響を受ける可能性

Advisory

JP Vendor Status Notes

JVNVU#102014 : TCP プロトコルに Optimistic TCP acknowledgements による DoS が可能な脆弱性
http://jvn.jp/cert/JVNVU%23102014/index.html

US-CERT Vulnerability Note

VU#102014 : Optimistic TCP acknowledgements can cause denial of service http://www.kb.cert.org/vuls/id/102014

SEIL シリーズへの影響度

該当機種

MODEL Firmware Version
SEIL/Turbo
1.00 (Union) 1.57 (Arnold)
SEIL/neu 2FE Plus
1.00 (Snappy) 1.57 (Djembe)
SEIL/neu Ver. 2.x
2.00 (Belay) 2.28 (Taping3)
SEIL/neu Ver. 1.x
1.52 (Inkknot) 1.94 (Bandage10)
SEIL/neu ATM
1.10 (POGO) 1.40 (Rubberpatch7)

SEILシリーズへの影響内容

SEILがTCPサーバとして動作する次の通信では、本脆弱性の影響を受ける可能性があります。 (なお、本脆弱性はTCPのプロトコル仕様に起因するもので、SEIL固有の実装上の問題ではありません。)
  • HTTP
  • Secure Shell
  • Telnet
  • DNS中継
  • トランスレータ
  • TCP relay
通常、TCP通信ではACKによるフロー制御および輻輳制御を行い、一定以上の帯域を用いないように制限します。 しかし、本脆弱性による攻撃では、偽造されたACK (Optimistic ACK)をTCPサーバに送信することで、サーバの限界性能までトラフィックを発生させ、帯域を占有し、他のサービスの正常な運用に影響を及ぼすことが懸念されています。

ただし、この攻撃手法は、自身の有する送信コンテンツ量が少ない TCP サーバに対してほとんど実効がありません。
また、通信時に認証が必要な TCP サービスについては ACK 偽造が困難となり、やはり影響は少ないと考えられます。

SEIL シリーズにおいては、現在のところ実質的影響を受けた事例は確認されていません。

SEIL シリーズにおける対応

本脆弱性は TCP のプロトコル仕様上の問題に起因するものです。
現在のところ、SEIL シリーズにおいて、独自の実装上の対策を行なう予定はございません。

なお、本脆弱性の影響を低減させるため可能な対策を下記に記載します。

1. 不要なサービスの停止
SEIL が TCP サーバとして動作する機能が不要な場合、無効に設定してください。

2. フィルタおよび認証適用によるアクセス制御
適切な IP フィルタの設定により、不要なアクセスを禁止できます。
また、HTTP、および Telnet 機能はパスワード認証が、 Secure Shell 機能はパスワード認証に加えて公開鍵認証によるアクセス制御がそれぞれ可能です。
これらのアクセス制御を適切に用いることにより本脆弱性の影響を最小限に留めることができます。

3. CBQ による帯域制御の予防的適用
TCP パケットに対する帯域制御設定を予防的に行うことで、 仮に本脆弱性によるトラフィック増大が生じても、他の通信への影響を最小限に留めることができます。

Page Top