更新日 2005/12/15
概要
IPsec/IKE通信で用いられるISAKMP実装の複数の脆弱性に対する遠隔の第三者からのサービス運用妨害攻撃(Denial of Service)により、通信への影響を受ける可能性
Advisory
NISCC
273756/NISCC/ISAKMP : Multiple Vulnerability Issues in Implementations of ISAKMP Protocol (2005-11-14)
http://www.niscc.gov.uk/niscc/docs/re-20051114-01014.pdf?lang=en (PDF)
JP Vendor Status Notes
NISCC-273756 : ISAKMPプロトコルの実装に複数の脆弱性
http://jvn.jp/niscc/NISCC-273756/index.html
SEILシリーズへの影響度
あり(詳細調査中)
該当機種
| MODEL |
Firmware Version |
| SEIL/Turbo |
| 1.00 (Union) |
~ |
1.57 (Arnold) |
|
| SEIL/neu 2FE Plus |
| 1.00 (Snappy) |
~ |
1.57 (Djembe) |
|
| SEIL/neu Ver. 2.x |
| 2.00 (Belay) |
~ |
2.28 (Taping3) |
|
| SEIL/neu Ver. 1.x |
| 1.52 (Inkknot) |
~ |
1.94 (Bandage10) |
|
| SEIL/neu ATM |
| 1.10 (POGO) |
~ |
1.40 (Rubberpatch7) |
|
SEILシリーズへの影響内容
SEILはIPsec/IKE通信における暗号鍵交換にISAKMPを用いますが、一部の動作において本脆弱性の影響を受けることを確認しています。
詳細な影響範囲につきましては現在継続して確認中です。
SEILシリーズにおける対応
下記ファームウェアにて、現時点で判明している問題への修正を行いました。
IKEフェーズ1でaggressiveモードを用いる場合の安全性が向上します。
以降のバージョンへのアップデートを推奨します。
| MODEL |
Firmware Version |
| SEIL/Turbo |
|
| SEIL/neu 2FE Plus |
|
| SEIL/neu Ver. 2.x |
|
| SEIL/neu Ver. 1.x |
|
| SEIL/neu ATM |
|
なお、この他の問題が内在しないか継続して調査する予定です。
運用による影響低減
本脆弱性の影響を低減させるために可能な対策を下記に記載します。
1. フィルタによるアクセス制御
IPsec/IKE通信を行う必要の無いホスト(信頼できないIKE peer)からのISAKMPパケットをIPフィルタで破棄(block)することにより本脆弱性の影響を低減できます。
2. IKE aggressive モードの不使用
運用上可能であればIKE aggressive モードの使用を避けることで本脆弱性の影響を低減できます。
