uRPFチェック設定処理に関するSEIL実装の脆弱性
影響:あり
報告日 2007/12/18
更新日 2007/12/18
概要
Unicast Reverse Path Forwarding (uRPF) チェック実装の不具合により、一部のIPv4パケットに対して意図と異なるフィルタリングとなる可能性
SEILシリーズへの影響度
あり
該当機種
| MODEL |
Firmware Version |
| SEIL/Turbo |
| 1.60 (Ukiah) |
〜 |
1.84 (SantaRosa) |
|
| SEIL/Plus |
| 1.60 (Darbuka) |
〜 |
1.84 (TensionBolt) |
|
| SEIL/neu 2FE,128,T1 |
|
SEILシリーズへの影響内容
SEILでIPsecとNATの双方が未設定の場合、Unicast Reverse Path Forwarding (uRPF) チェック機能の有効化またはモードの変更を行っても、一部のIPv4パケットに対して変更後のフィルタリングが作用しないことがあります。
SEILシリーズにおける対応
下記ファームウェアで、本脆弱性に対する修正を行いました。
以降のバージョンへの早急なアップデートを推奨します。
| MODEL |
Firmware Version |
| SEIL/Turbo |
|
| SEIL/Plus |
|
| SEIL/neu 2FE,128,T1 |
|
運用による対策
本脆弱性の影響を低減させるために可能な対策を下記に記載します。
1. NAT設定またはIPsec設定の適用
運用上、IPsecとNATの双方とも不要な場合でも、(未使用のインタフェースにNATを適用するなど)実際の通信に作用しないNAT設定またはIPsec設定を行うことで本脆弱性の影響を回避できます。
2. IPフィルタによるアクセス制限
信頼できるネットワークからのパケットのみ明示的に通過(pass)させ、他の不要なパケットは全て破棄(block)するフィルタリングの適用により本脆弱性の影響を低減できます。
IIJ SMF sxサービス活用事例にて株式会社松竹様の事例が追加されました。
SEIL/B1、SEIL/Xシリーズが、モバイルデータ通信端末「IIJモバイル 120FU」、及び「イー・モバイル D31HW」に対応しました。ぜひご利用ください。
