Optimistic TCP acknowledgementsによる脆弱性
公開日:2005年11月16日
最終更新日:2005年11月16日
Security Alert:
|
JVNVU#102014、 VU#102014 |
概要:
|
偽造のTCP Ackメッセージを送信することにより、ネットワークの輻輳を制御できない状態になる脆弱性が発見されました。本脆弱性はTCPの仕様上の問題であり、特定の機器の実装に依存しているものではありません。
TCPプロトコルの仕様において、データ受信側ホスト(悪意を持ったユーザ)が、送信側ホストのまだ受信していないTCPセグメントに対し、偽造のAckメッセージを送信することにより、送信側ホストの輻輳制御メカニズムを狂わすことが可能です。その結果、帯域が占有され、他のサービスを圧迫する可能性があります。本脆弱性では、TCPを使って大量のデータをやりとりする場合に危険性が大きいと報告されています。 |
技術情報:
|
http://jvn.jp/cert/JVNVU%23102014/ http://www.kb.cert.org/vuls/id/102014 |
脆弱性の影響度: |
製品
|
型式
|
影響
|
対処方法 / 備考
|
---|---|---|---|
EXAtrax | NS-61xx |
若干影響あり
|
下記参照
|
BlueBrickEX | NS-3510 | ||
BlueBrick | NS-272x / NS-2731 | ||
RAS | NS-4200 / NS-2484 / NS-2610 | ||
CS | NS-2234 / NS-2232 |
NSシリーズはTCPを実装しているため影響を受ける可能性はありますが、NSシリーズのTCPを終端するアプリケーションは、telnetサーバ、FTPサーバ、httpサーバ(※2)に限られますので、実質的には影響が極めて少ないと考えております。
telnetサーバ及びhttpサーバは取り扱うデータ量が少なく、また、FTPサーバ(OSのバックアップ操作が該当)も大量と言えるほどのデータは取り扱っておりませんので、本脆弱性による影響(パフォーマンスの低下)は低いと言えます。(OSのバージョンアップ時はデータ受信側の立場のため該当しません)
また、telnetサーバ、FTPサーバ、httpサーバとも、後述のフィルタ機能や認証機能で不正アクセスは回避できます。
回避策: |
以下のような方法により、本脆弱性の影響をさらに抑えることが可能です。 <フィルタ機能> <認証機能> <サーバを停止> ※1 EXAtraxはset vup remoteで接続可能な相手ホストを限定することができます。 |