【活用ガイド】

[English]

JVNDB-2009-000068

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性

概要

Internet Protocol version 6 (IPv6) を実装した複数の製品には、サービス運用妨害 (DoS) の脆弱性が存在します。

IPv6 を実装した複数の製品には、Neighbor Discovery Protocol (RFC4861) に関連したパケットの処理に問題があります。細工されたパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

IPv6 を実装している製品が本脆弱性の影響を受ける可能性があります。
詳しくは各ベンダが提供する情報をご確認ください。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者:インターネットマルチフィード株式会社 金井 瑛氏、慶應義塾大学 村井研究室 白畑 真氏、Rodney Van Meter氏、Internet Systems Consortium, Inc. 神明達哉氏

報告者により、下記のコメントをいただいております:
本脆弱性の分析にあたりましては、KAME Project の鈴木伸介氏、USAGI Project の吉藤英明氏、杉本信太氏のご協力をいただきました。

CVSS による深刻度 (CVSS とは?)

基本値: 5.7 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的

影響を受けるシステム


インターネットイニシアティブ
  • SEIL/neu 2FE Plus 1.00 〜 1.92
  • SEIL/neu 128,T1 1.00 〜 2.43
  • SEIL/Turbo 1.00 〜 1.92
  • SEIL/X1 1.00 〜 1.22
  • SEIL/X2 1.00 〜 1.22
ヤマハ
  • RT105シリーズ Rev.6.02.03以降の全リビジョン
  • RT107e Rev.8.03.15〜Rev.8.03.78
  • RT140シリーズ Rev.6.02.03以降の全リビジョン
  • RT250i Rev.8.02.14〜Rev.8.02.48
  • RT300i Rev.6.02.03以降の全リビジョン
  • RT56v 全リビジョン
  • RT57i Rev.8.00.11〜Rev.8.00.87
  • RT58i Rev.9.01.11〜Rev.9.01.36
  • RT60w Rev.5.02.04以降の全リビジョン
  • RTA54i Rev.4.04.03以降の全リビジョン
  • RTA55i 全リビジョン
  • RTV700 Rev.8.00.23〜Rev.8.00.81
  • RTW65b 全リビジョン
  • RTW65i 全リビジョン
  • RTX1000 全リビジョン
  • RTX1100 Rev.8.02.14〜Rev.8.03.77
  • RTX1500 Rev.8.02.14〜Rev.8.03.77
  • RTX2000 全リビジョン
  • RTX3000 Rev.9.00.08〜Rev.9.00.40
  • SRT100 Rev.10.00.08〜Rev.10.00.31
古河電気工業
  • FITELnet-Fシリーズ FITELnet-F80
  • FITELnet-Fシリーズ FITELnet-F100
  • FITELnet-Fシリーズ FITELnet-F140
  • FITELnet-Fシリーズ FITELnet-F1000
  • FITELnet-Fシリーズ FITELnet-F2000
日本電気
  • IP38Xシリーズ

想定される影響

ネットワーク内の同一リンク上に存在する悪意ある第三者によって送信された大量のパケットを受信することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策

[アップデートする]
開発者が本問題に対応するアップデートを提供している場合、それを適用してください。

[ワークアラウンドを実施する]
アップデートまでの回避策として、以下のワークアラウンドを実施することで本問題の影響を軽減することができます。

* Secure Neighbor Discovery (SEND) を利用する
RFC 3972 で規定されている Cryptographically Generated Address (CGA) を利用して、 パケットの妥当性を検証する。
* 利用者端末においてフィルタリングを行う
可能な場合には、パーソナルファイアウォール等により、Router Advertisement (RA) や ND Redirect パケットを制御する。
* L2中継装置によるフィルタリングを行う
IPv6 ヘッダに基づくパケットフィルタリング機能を備えている L2 中継装置 (スイッチや無線 LAN アクセスポイント) を利用できる場合には、中継装置において、ルータ以外のポートから送信された RA や ND Redirect パケットを破棄する、または利用者端末間の直接通信を制限する。なお、端末間通信を制限することにより、Duplicate Address Detection (DAD) が機能しなくなる可能性があります。
ベンダ情報

インターネットイニシアティブ ヤマハ 古河電気工業 日本電気
  • NEC製品セキュリティ情報 : NV09-016
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#75368899
  2. IETF : RFC4942
  3. IETF : RFC3971
  4. IETF : RFC3972
  5. IETF : RFC4861
  6. IETF : RFC4862
  7. IETF : RFC3756
  8. IETF : RFC4890
更新履歴

[2009年10月26日]
  掲載
[2009年11月17日]
  影響を受けるシステム:インターネットイニシアティブ (IPv6 ICMP redirect 受信による経路挿入の脆弱性) の情報を追加
  影響を受けるシステム:ヤマハ (IPv6プロトコルにおけるサービス運用妨害(DoS)の脆弱性について ) の情報を追加
  ベンダ情報:インターネットイニシアティブ (IPv6 ICMP redirect 受信による経路挿入の脆弱性) を追加
  ベンダ情報:ヤマハ (IPv6プロトコルにおけるサービス運用妨害(DoS)の脆弱性について ) を追加
[2010年01月25日]
  影響を受けるシステム:日本電気 (NV09-016) の情報を追加
  ベンダ情報:日本電気 (NV09-016) を追加