AX-VU2008-01「BGP4/BGP4+ UPDATEメッセージ受信の問題」に関するご報告

AX第1版 2008-5-8

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下にBGP4/BGP4+のUPDATEメッセージ受信に関する問題について報告致します。

出典

概要

BGP4/BGP4+(Border Gateway Protocol)は、自律システム間の経路情報を交換するためのルーティングプロトコルです。BGP4 はIPv4 ユニキャストの経路情報を交換します。BGP4+ はIPv6 ユニキャストの経路情報を交換します。経路情報を交換するために隣接ルータ間でBGP4/BGP4+ コネクションを確立、維持し、BGP4/BGP4+コネクション上でUPDATEメッセージにより経路情報を交換します。
UPDATE メッセージ内のパス属性タイプ値およびASパス属性情報に通常使用されない値が意図的に設定されていることにより、隣接ルータと確立済みのBGP4/BGP4+コネクションが切断する危険性があります。

影響

  1. パス属性タイプ値に関する脆弱性について
    本脆弱性を引き起こすUPDATEメッセージを受信するとUPDATEメッセージエラー(エラーサブコードは1)を送信し、コネクションを切断します。その後、当該隣接ルータとBGP4/BGP4+コネクションを再確立しますが、同様のUPDATEメッセージを受信し続ける場合、コネクションの切断・再確立を繰り返します。隣接ルータから受信した経路情報は他の隣接ルータに再配布しますが、コネクションの切断・再確立を繰り返すことで、到達経路・非到達経路情報の再配布を繰り返すため、経路情報フラップが発生する可能性があります。
  2. ASパス属性情報に関する脆弱性について
    本脆弱性の影響はありません。

回避方法

パス属性タイプ値に関する脆弱性について、回避策はありません。以下に示すバージョンを適用して頂くことで、BGP4/BGP4+コネクションの不要な切断を回避することができます。

対策
No. 装置シリーズ名 対象ソフトウェア製品略称 対策バージョン 対策版リリース日
1 AX2000R ROUTE-OS8B,
ROUTE-OS8BSEC
8.4.G以降
2 AX7700R OS-R, OS-RE 10.6.B以降
3 AX7800R OS-R, OS-RE 10.6.B以降
4 AX7800S OS-SW, OS-SWE 10.6.B以降
5 AX5400S OS-SW, OS-SWE 10.6.B以降
6 AX6300S OS-S, OS-SE 10.6.A以降
7 AX6700S OS-S, OS-SE 10.6.A以降
8 AX3600S OS-L3A 10.6.A以降
9 AX2400S 本脆弱性には該当しません - -
10 AX1200S 本脆弱性には該当しません - -

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウエアの入手方法

ソフトウエアの入手につきましては、ご購入元にご確認ください。