- プロダクト・サービス
- ドキュメント
- ダウンロード
- 販売・レンタル
- サポート情報
IPsec/IKE通信で用いられるISAKMP実装の複数の脆弱性に対する遠隔の第三者からのサービス運用妨害攻撃(Denial of Service)により、通信への影響を受ける可能性
2005/12/15
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン |
|---|---|
| SEIL/Turbo | 1.00 - 1.57 |
| SEIL/neu 2FE Plus | 1.00 - 1.57 |
| SEIL/neu ver.2.x | 2.00 - 2.28 |
| SEIL/neu ver.1.x | 1.52 - 1.94 |
| SEIL/neu ATM | 1.10 - 1.40 |
SEILはIPsec/IKE通信における暗号鍵交換にISAKMPを用いますが、一部の動作において本脆弱性の影響を受けることを確認しています。 詳細な影響範囲につきましては現在継続して確認中です。
本脆弱性を修正したファームウェアをリリースしました。
下記のバージョン以降への早急な変更を推奨します。
IKEフェーズ1でaggressiveモードを用いる場合の安全性が向上します。
なお、この他の問題が内在しないか継続して調査する予定です。
| 機種 | バージョン |
|---|---|
| SEIL/Turbo | 1.58 |
| SEIL/neu 2FE Plus | 1.58 |
| SEIL/neu ver.2.x | 2.29 |
| SEIL/neu ver.1.x | 1.95 |
| SEIL/neu ATM | 1.41 |
本脆弱性の影響を低減させるために可能な対策を下記に記載します。
フィルタによるアクセス制御
IPsec/IKE通信を行う必要の無いホスト(信頼できないIKE peer)からのISAKMPパケットをIPフィルタで破棄(block)することにより本脆弱性の影響を低減できます。
IKE aggressive モードの不使用
運用上可能であればIKE aggressive モードの使用を避けることで本脆弱性の影響を低減できます。
NISCC 273756/NISCC/ISAKMP : Multiple Vulnerability Issues in Implementations of ISAKMP Protocol (2005-11-14)
http://www.niscc.gov.uk/niscc/docs/re-20051114-01014.pdf?lang=en (PDF)(現在参照できません)
JP Vendor Status Notes NISCC-273756 : ISAKMPプロトコルの実装に複数の脆弱性