複数のTCPの実装におけるサービス運用妨害(DoS)の脆弱性
公開日:2009年10月30日
最終更新日:2009年10月30日
Security Alert:
|
JVNVU#943657 |
概要:
|
TCPプロトコル処理の実装には、ウインドウサイズを細工したパケットの処理に関する脆弱性が存在します。 この脆弱性を使用された場合、結果として遠隔の第三者によってシステムのサービス不能状態が引き起こされる場合があります。 |
技術情報:
|
http://jvn.jp/cert/JVNVU943657/ http://www.jpcert.or.jp/at/2009/at090019.txt |
脆弱性の影響度: |
製品
|
型式
|
影響
|
対処方法 / 備考
|
---|---|---|---|
EXAtraxII | NS-7500 | なし | ※1 |
EXAtrax | NS-61xx | なし | ※1 |
BlueBrickEX | NS-3510 | あり | 設定による回避※2 |
BlueBrick | NS-272x / NS-2731 | なし | ※1 |
SmartCS | NS-2240 | なし | ※1 |
CS | NS-2234 / NS-2232 | なし | ※1 |
RAS | NS-2484 / NS-2610 | なし | ※1 |
すべての弊社製品につきまして、DoS攻撃対策として不正な装置からの攻撃を防ぐため、未使用のTCPサービスの停止、FireWallやフィルタ設定による対象装置へのアクセスを限定することを推奨いたします。
フィルタ設定の詳細は各製品の「取扱説明書」「コマンドリファレンス」をご確認ください。
※SmartCS、EXAtrax、EXAtraxIIに、フィルタ機能はありません。
※1
本装置は、脆弱性を使用した攻撃を受けている間、Telnet等、対象装置へのTCP接続性が悪くなりますが、攻撃が停止すればTelnet等の接続性も回復します。
また、当攻撃により、装置の再起動やシステム異常が生じることはありません。
※2
本装置は、本脆弱性を使用した攻撃を受けると正常に動作しなくなる場合がありますので、設定による回避策の適用をご検討ください。
BlueBrickEX NS-3510 フィルタ設定例
<設定条件>
・受信インタフェース :vif1
・本装置 :192.168.10.254/32
・本装置アクセス許可ホスト :192.168.10.11/32
・許可TCPプロトコル :Telnet/SSH/http通信
・本装置宛以外の通信は許可
<設定例>
---------------------------------------------------------------
create profile filter 1
add action filter accept match 192.168.10.254 192.168.10.11 23 tcp to profile 1
add action filter accept match 192.168.10.254 192.168.10.11 22 tcp to profile 1
add action filter accept match 192.168.10.254 192.168.10.11 80 tcp to profile 1
add action filter deny match 192.168.10.254 to profile 1
add action filter accept match to profile 1
add profile filter 1 to interface vif1 in
----------------------------------------------------------------