Unicast Reverse Path Forwarding (uRPF) チェック実装の不具合により、一部のIPv4パケットに対して意図と異なるフィルタリングとなる可能性
2007/12/18
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン |
|---|---|
| SEIL/Turbo | 1.60 |
| SEIL/neu 2FE Plus | 1.60 |
SEILでIPsecとNATの双方が未設定の場合、Unicast Reverse Path Forwarding (uRPF) チェック機能の有効化またはモードの変更を行っても、一部のIPv4パケットに対して変更後のフィルタリングが作用しないことがあります。
本脆弱性を修正したファームウェアをリリースしました。
下記のバージョン以降への早急な変更を推奨します。
| 機種 | バージョン |
|---|---|
| SEIL/Turbo | 1.85 |
| SEIL/neu 2FE Plus | 1.85 |
本脆弱性の影響を低減させるために可能な対策を下記に記載します。
NAT設定またはIPsec設定の適用
運用上、IPsecとNATの双方とも不要な場合でも、(未使用のインタフェースにNATを適用するなど)実際の通信に作用しないNAT設定またはIPsec設定を行うことで本脆弱性の影響を回避できます。
IPフィルタによるアクセス制限
信頼できるネットワークからのパケットのみ明示的に通過(pass)させ、他の不要なパケットは全て破棄(block)するフィルタリングの適用により本脆弱性の影響を低減できます。