TCPセッション処理に関する脆弱性
影響:あり報告日 2009/09/18
概要
TCPセッションの処理に関する脆弱性に対する遠隔の第三者からの
サービス運用妨害攻撃(Denial of Service)により、一部機能が
利用できなくなる可能性
SEILシリーズへの影響度
あり
該当機種
| MODEL | Firmware Version |
|---|---|
| SEIL/B1 | 1.00 ~ |
| SEIL/X | 1.00 ~ |
| SEIL/Turbo | 1.00 ~ |
| SEIL/neu 2FE Plus | 1.00 ~ |
| SEIL/neu 128 | 1.00 ~ |
SEILシリーズへの影響内容
CVE-2008-4609[1], JVNVU#943657[2] 等で報告されている「複数の TCP の
実装におけるサービス運用妨害 (DoS) の脆弱性」の影響を受ける可能性があります。
以下の機能が有効である場合、遠隔の第三者に本脆弱性を悪用されることで一部機能が
利用できなくなる可能性があります。
- (PPPアクセスコンセントレータにおける) PPTPサーバ
- アプリケーションゲートウェイ
- Telnet
- Secure Shell(*1)
- HTTP(Web UI)
- DNS中継
- IPv6-IPv4トランスレータ
- (SMF-LANにおける)TCP Relay Server(*2)
- SMFv2 (*3)
| (*1): | SMFv1を使用している場合も含まれる |
|---|---|
| (*2): | SEIL/Turboのみ |
| (*3): | SEIL/X1, SEIL/X2, SEIL/B1のみ。接続方式がhttps-simpleの場合に限る。 |
SEILシリーズにおける対応
TCPプロトコル上の問題ではなく、正常な利用なのかサービスを妨害しているのかを
明確に判断することが困難であるため、ファームウェアの更新による対応は検討中です。
設定による回避策
本脆弱性の影響を回避する対策を以下に記載します。
IPフィルタおよびIPv6フィルタによるアクセス制限
SEILを送信先とする通信は、送信元が信頼できるネットワークからのパケットのみ 通過(pass)させ、不明なネットワークからのパケットは全て破棄(block)する フィルタリングの適用を推奨します。
アプリケーションゲートウェイの入力インタフェースの制限
アプリケーションゲートウェイ機能を利用する場合には、信頼できるネットワークに 接続されたインタフェースからの入力のみ受け付けるように "input-interface" を設定することを推奨します。
関連情報
[1] Common Vulnerabilities and Exposures (CVE) CVE-2008-4609
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4609
[2] Japan Vulnerability Notes JVNVU#943657
複数の TCP の実装におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU943657/index.html
[3] JPCERT/CC Alert 2009-09-09 JPCERT-AT-2009-0019
複数製品の TCP プロトコルの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090019.txt
IIJ SMF sxサービス活用事例にて株式会社松竹様の事例が追加されました。
SEIL/B1、SEIL/Xシリーズが、モバイルデータ通信端末「IIJモバイル 120FU」、及び「イー・モバイル D31HW」に対応しました。ぜひご利用ください。
