Net-SNMPのGetBulkリクエスト処理に関する脆弱性
影響:あり
報告日 2007/12/18
更新日 2007/12/18
概要
Net-SNMPのGetBulkリクエスト処理に関する脆弱性により、SNMPサーバが正常に機能しなくなる可能性
Advisory
Common Vulnerabilities and Exposures (CVE)
CVE-2007-5846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5846
JP Vendor Status Notes
JVNDB-2007-000986
net-snmpにおけるSNMPエージェントにおけるサービス運用妨害(DoS)の脆弱性
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000986.html
SEILシリーズへの影響度
あり
該当機種
| MODEL |
Firmware Version |
| SEIL/Turbo |
| 1.00 (Union) |
〜 |
1.84 (SantaRosa) |
|
| SEIL/Plus |
| 1.00 (Snappy) |
〜 |
1.84 (TensionBolt) |
|
| SEIL/neu 2FE,128,T1 |
| 2.00 (Belay) |
〜 |
2.35 (Sicher) |
|
SEILシリーズへの影響内容
SNMPマネージャから著しく大きな値のmax-repetitions(最大反復値)のSNMP GetBulkリクエストを受けると、SNMPサーバが正常に機能しなくなる可能性があります。
SEILシリーズにおける対応
下記ファームウェアで、本脆弱性に対する修正を行いました。
- SNMP GetBulkリクエストにおけるmax-repetitions(最大反復値)に制限を設けました。
以降のバージョンへの早急なアップデートを推奨します。
| MODEL |
Firmware Version |
| SEIL/Turbo |
|
| SEIL/Plus |
|
| SEIL/neu 2FE,128,T1 |
|
運用による対策
運用上、対策済ファームウェアの適用が行えない場合に、本脆弱性の影響を低減する対策を下記に記載します。
1. SNMP要求への認証適用
意図しないSNMPマネージャからのSNMP要求を制限するために適切な認証設定を行ってください。
2. IPフィルタおよびIPv6フィルタによるアクセス制限
SEILを送信先とする通信は、送信元が信頼できるネットワークからのパケットのみ通過(pass)させ、他の不要なパケットは全て破棄(block)するフィルタリングの適用を推奨します。
IIJ SMF sxサービス活用事例にて株式会社松竹様の事例が追加されました。
SEIL/B1、SEIL/Xシリーズが、モバイルデータ通信端末「IIJモバイル 120FU」、及び「イー・モバイル D31HW」に対応しました。ぜひご利用ください。
