GREパケットに対するNAT処理に関する脆弱性
影響:あり報告日 2009/10/26
概要
特定のGREプロトコルのパケットをNAT変換する際の、内部処理の不備による本機の再起動
SEILシリーズへの影響度
あり
該当機種
| MODEL | Firmware Version |
|---|---|
| SEIL/X1 | 2.30 ~ 2.51 |
| SEIL/X2 | 2.30 ~ 2.51 |
| SEIL/B1 | 2.30 ~ 2.51 |
SEILシリーズへの影響内容
NAT機能の内部処理に不備があることにより、NAT機能が有効となっている状態で 特定のGREプロトコルのパケットをNAT変換しようとすると、本機が再起動します。
NAT機能を使用していない場合、または、NAT機能を使用していてもGREプロトコルの パケットがNAT変換対象とならない環境では、本脆弱性の影響は受けません。
SEILシリーズにおける対応
下記ファームウェアで、本脆弱性に対する修正を行いました。 以降のバージョンへの早急なアップデートを推奨します。
| MODEL | Firmware Version |
|---|---|
| SEIL/X1 | 2.52 以降 |
| SEIL/X2 | 2.52 以降 |
| SEIL/B1 | 2.52 以降 |
設定による回避策
信頼できるホスト以外からのGREプロトコルのパケットを、フィルタ機能でブロックする
| 設定例: | 外部に接続しているインタフェースがpppoe0の場合。 |
|---|
filter add GRE_PASS interface pppoe0 action pass protocol 47 direction in src AUTHORIZED_IP ... filter add GRE_BLOCK interface pppoe0 action block protocol 47 direction in
IIJ SMF sxサービス活用事例にて株式会社松竹様の事例が追加されました。
SEIL/B1、SEIL/Xシリーズが、モバイルデータ通信端末「IIJモバイル 120FU」、及び「イー・モバイル D31HW」に対応しました。ぜひご利用ください。
