Optimistic TCP acknowledgementsによる脆弱性

公開日:2005年11月16日
最終更新日:2005年11月16日

Security Alert:
JVNVU#102014、 VU#102014
   
概要:
偽造のTCP Ackメッセージを送信することにより、ネットワークの輻輳を制御できない状態になる脆弱性が発見されました。本脆弱性はTCPの仕様上の問題であり、特定の機器の実装に依存しているものではありません。

TCPプロトコルの仕様において、データ受信側ホスト(悪意を持ったユーザ)が、送信側ホストのまだ受信していないTCPセグメントに対し、偽造のAckメッセージを送信することにより、送信側ホストの輻輳制御メカニズムを狂わすことが可能です。その結果、帯域が占有され、他のサービスを圧迫する可能性があります。本脆弱性では、TCPを使って大量のデータをやりとりする場合に危険性が大きいと報告されています。

   
技術情報:
http://jvn.jp/cert/JVNVU%23102014/
http://www.kb.cert.org/vuls/id/102014
   
脆弱性の影響度:  
製品
型式
影響
対処方法 / 備考
EXAtrax NS-61xx
若干影響あり
下記参照
BlueBrickEX NS-3510
BlueBrick NS-272x /  NS-2731
RAS NS-4200 / NS-2484 /  NS-2610
CS NS-2234 /  NS-2232

NSシリーズはTCPを実装しているため影響を受ける可能性はありますが、NSシリーズのTCPを終端するアプリケーションは、telnetサーバ、FTPサーバ、httpサーバ(※2)に限られますので、実質的には影響が極めて少ないと考えております。

telnetサーバ及びhttpサーバは取り扱うデータ量が少なく、また、FTPサーバ(OSのバックアップ操作が該当)も大量と言えるほどのデータは取り扱っておりませんので、本脆弱性による影響(パフォーマンスの低下)は低いと言えます。(OSのバージョンアップ時はデータ受信側の立場のため該当しません)

また、telnetサーバ、FTPサーバ、httpサーバとも、後述のフィルタ機能や認証機能で不正アクセスは回避できます。

回避策:

以下のような方法により、本脆弱性の影響をさらに抑えることが可能です。

<フィルタ機能>
アクセスリストにより本装置宛ての、信用できない相手からのアクセスを 拒否することができます(※1)。

<認証機能>
telnetサーバ、FTPサーバ、httpサーバ(※2)に対しパスワードを設定し、信用できない相手からのアクセスを拒否することができます。

<サーバを停止>
telnetサーバ、FTPサーバ、httpサーバ(※2)のうち、普段利用していないサーバを停止することで攻撃を防止することができます。

※1 EXAtraxはset vup remoteで接続可能な相手ホストを限定することができます。
※2 httpサーバは、NS-2610(SmartRAS)及びNS-3510(BlueBrickEX)のみ対応しております。