掲載日:2004年6月24日
NISCC(注1)より、「TCPの潜在的な脆弱性(注2)」の存在が報告され、弊社ネットワーク製品においても脆弱性の存在が確認されました。
脆弱性の内容および対応方法についてご連絡いたします。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略称
英国における重要インフラ保護のための機関。
(注2) NISCC Vulnerability Advisory 236929/TCP
Potential Reliability Issue in TCP.
本脆弱性は、TCPの基本的な実装に潜在するものです。TCPはネットワークで使用される基本的なネットワークプロトコルで、その通信にはシーケンス番号を使用してやりとりを行っております。このシーケンス番号を第三者に予測された場合、接続中のセションの切断、不正なデータの挿入、DoS (Denial of Services:サービス継続不能)攻撃等を受ける可能性があります。
攻撃をうけた場合、ネットワークアクセスが一時的に使用できなくなる場合があります。
・TCP通信を行う、ほとんどのネットワーク製品が攻撃の対象となる可能性がありますが、一般的な利用法(短時間のセションの通信)では、シーケンス番号の予測が困難なため、攻撃の可能性はかなり低いと考えられます。
・ルータ間の経路情報のやりとりに利用するBGP(注3)は、長時間のセションを使用するため、攻撃を受ける危険性が他の通信と比べて高くなります。
(注3) BGP : Border Gateway Protocolの略称
複数のネットワークを接続した環境において、各ネットワーク間で接続機器が経路情報をやりとりするためのプロトコル。
基本的にTCPスタックを持つ全てのネットワーク製品がこの脆弱性の対象となります。
また、以下の製品において、脆弱性の可能性を確認いたしました。
・GeoStream R900シリーズ : R980 / R920
・GeoStream Si-Rシリーズ (注) : Si-R870
・LR-Xシリーズ : LR-X7050 / 6030 / 3050 / 2180 / 2160E / 2080S / 2060 / 2060E / 2050
(注) GeoStream Si-Rシリーズの以下の機種は、TCPのシーケンス番号チェックを厳しく行っており、本脆弱性による影響はほとんどありません。
・GeoStream Si-Rシリーズ : Si-R500シリーズ、Si-R300シリーズ、Si-R200シリーズ、Si-R100シリーズ
・他のルーティングプロトコルが使用可能な場合はBGPを止め、RIP/OSPF等、またはスタティックルーティングを使用することで、攻撃成功の可能性を著しく低減できます。
・BGPを使用する場合は、信頼できる機器からのアクセスに限定することや、有効な位置にファイアーウォールを設置することで、攻撃の脅威にさらされる危険性を著しく低減することが可能です。
(注): 弊社製ファイアーウォール(NetShelter/FWシリーズ、IPCOM Sシリーズ)では、不正TCPリセットパケット攻撃を防御する機能を提供しております。
下記対応製品に対し、TCP脆弱性対処用ソフトウェアまたは修正パッチファイルをご提供します。本ソフトウェアまたは修正パッチファイルを適用することにより、本脆弱性による影響がほとんどなくなります。
対象製品 | 対処済バージョン/レベル | 提供時期 | |
---|---|---|---|
GeoStream R980 基本ソフトウェア | V3 | V03L44 | 提供済 |
V03L10 | 提供済 | ||
V2 | V02L02 | 提供済 | |
GeoStream R920基本ソフトウェア | V3 | V03L44 | 提供済 |
V03L10 | 提供済 |
対象製品 | 対処済バージョン | 提供時期 | |
---|---|---|---|
Si-R870 基本ソフトウェア | V2 | V02L01 | 提供済 |
対象製品 | 対処済バージョン | 提供時期 | |
---|---|---|---|
LR-X基本ソフトウェア(LR-X7050/6030用) | V4 | V04.11 | 提供済 |
LR-X基本ソフトウェア(LR-X3050用) | V6 | V06.02 | 提供済 |
V5 | V05.05 | 提供済 | |
LR-X基本ソフトウェア(LR-X2180/2160E/2060用) | V5 | V05.05 | 提供済 |
LR-X基本ソフトウェア(LR-X2080S/2060E/2050用) | V5 | V05.05 | 提供済 |
脆弱性対処済みソフトウェアは無償でご提供致します。
また、弊社技術員によるインストールサービスも有償にて提供しております。ご購入いただいた販売会社、または、弊社担当営業にお申し付け下さい。
TCPに潜在する脆弱性への対応について
CISCO製品のTCP脆弱性への対応について
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
プラットフォームソリューションセンター
プロダクトマーケティング統括部 ネットワーク部
tel: (03)6252-2660(直通)