D00618
不正なIKEv2パケットを受信したとき、IKEv2デーモンが異常終了する可能性がある不具合を修正しました。
- 関係する機能
- IPsec/IKE
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X4, CA10 | 3.32 | 2.30 ~ 3.31 |
| SEIL/x86 Ayame | 3.32 | 2.30 ~ 3.31 |
不具合の説明
IKEv2のプロポーザルに楕円曲線アルゴリズムを含む場合、不正なIKEv2パケットを受信するとIKEv2デーモンが異常終了する可能性があります。 異常終了が発生した場合は自動復旧しないため、本装置を再起動する必要があります。
該当する楕円曲線アルゴリズムは次の通りです。
- ecp192, ecp224, ecp256, ecp384, ecp521
※本装置は既定のIKEv2プロポーザルにecp521を含むため本脆弱性の影響を受ける可能性があります。
回避・復旧手段
ルーティングベースIPsecでIKEv2を使用している場合は、 "interface.ipsec[].ike.v2.proposal.ike-sa.dh-group.[].algorithm" キーに 次のアルゴリズムを含まないIKEプロポーザルを明示的に設定することで事象の発生を回避できます。
- ecp192, ecp224, ecp256, ecp384, ecp521
IPsecAC(IKEv2リモートアクセス)を使用している場合はIKEプロポーザルを変更できないため回避できません。
関連情報
- OpenBSD 7.6 Errata
- 012: SECURITY FIX: April 9, 2025 All architectures