AX-VU2015-01「NTPの脆弱性(VU#852879)」に関するご報告
AX第1版 2015-2-6
AX第2版 2015-5-18
AX第3版 2015-11-4
AX第4版2015-11-27
アラクサラネットワークス株式会社
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
出典
- US-CERT Vulnerability Note VU#852879
Date: December 19, 2014
Topic: Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities - JP-CERT
概要
NTP機能において、複数の脆弱性が報告されました。
影響
本脆弱性には、次の6つの脆弱性が含まれています。
- CVE-2014-9293: Insufficient Entropy in Pseudo-Random Number Generator (PRNG)
- CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
- CVE-2014-9295: Stack Buffer Overflow
- CVE-2014-9296: Error Conditions, Return Values, Status Codes
- CVE-2014-9297: Improper Check for Unusual or Exceptional Conditions
- CVE-2014-9298: Authentication Bypass by Spoofing
それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
| No | 装置シリーズ名 | CVE-2014 -9293 |
CVE-2014 -9294 |
CVE-2014 -9295 |
CVE-2014 -9296 |
CVE-2014 -9297 |
CVE-2014 -9298 |
|---|---|---|---|---|---|---|---|
| 1 | AX8600S | 全Ver | - | - | - | - | - |
| 2 | AX7800S | 全Ver | - | Ver 10.10.R より前 | - | - | - |
| 3 | AX6700S | 全Ver | - | Ver 11.9.G より前 | - | - | - |
| 4 | AX6600S | 全Ver | - | Ver 11.9.G より前 | - | - | - |
| 5 | AX6300S | 全Ver | - | Ver 11.9.G より前 | - | - | - |
| 6 | AX5400S | 全Ver | - | Ver 10.10.R より前 | - | - | - |
| 7 | AX4600S | 全Ver | - | - | - | - | - |
| 8 | AX3800S | 全Ver | - | Ver 11.12 より前 | - | - | - |
| 9 | AX3600S | 全Ver | - | Ver 11.11.Bより前(AX3630S) Ver 11.12 より前(他) |
- | - | - |
| 10 | AX2500S | - | - | - | - | - | - |
| 11 | AX2400S | 全Ver | - | Ver 11.7.G より前 | - | - | - |
| 12 | AX2200S | - | - | - | - | - | - |
| 13 | AX1200S | - | - | - | - | - | - |
| 14 | AX8600R | 全Ver | - | Ver 12.2 より前 | - | - | - |
| 15 | AX7800R | 全Ver | - | Ver 10.10.R より前 | - | - | - |
| 16 | AX7700R | 全Ver | - | Ver 10.10.R より前 | - | - | - |
| 17 | AX2000R | 全Ver | - | 全Ver | - | - | - |
| 18 | AX620R | - | - | - | - | - | - |
| 19 | AX-Netowrker's-Utility, AX-ON-API-SDK, AX-Config-Master |
- | - | - | - | - | - |
回避方法
CVE-2014-9293 / CVE-2014-9295
AX7800S・AX5400S・AX7800R・AX7700R・AX2000R
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295の脆弱性を回避できます。
ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。
AX8600S・AX6700S・AX6600S・AX6300S・AX8600R
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
AX4600S・AX3800S・AX3600S・AX2400S
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
対策
本脆弱性の対策版ソフトウェアの適用をお願いします。
| No | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | AX8600S | OS-SE | Ver 12.4.D | リリース済 |
| 2 | AX7800S | OS-SW, OS-SWE | Ver 10.10.S | リリース済 |
| 3 | AX6700S | OS-SE | Ver 11.9.L | リリース済 |
| 4 | AX6600S | OS-SE | Ver 11.9.L | リリース済 |
| 5 | AX6300S | OS-SE | Ver 11.9.L | リリース済 |
| 6 | AX5400S | OS-SW, OS-SWE | Ver 10.10.S | リリース済 |
| 7 | AX4600S | OS-L3CA,OS-L3CL | Ver 11.13 | リリース済 |
| 8 | AX3800S | OS-L3SA, OS-L3SL | Ver 11.14.A | リリース済 |
| 9 | AX3600S | OS-L3SA, OS-L3SL OS-L3A, OS-L3L |
Ver 11.14.A | リリース済 |
| 10 | AX2500S | 本脆弱性には該当しません | - | - |
| 11 | AX2400S | OS-L2 | Ver 11.7.K | リリース済 |
| 12 | AX2200S | 本脆弱性には該当しません | - | - |
| 13 | AX1200S | 本脆弱性には該当しません | - | - |
| 14 | AX8600R | OS-RE | Ver 12.4.D | リリース済 |
| 15 | AX7800R | OS-R, OS-RE | Ver 10.10.S | リリース済 |
| 16 | AX7700R | OS-R, OS-RE | Ver 10.10.S | リリース済 |
| 17 | AX2000R | ROUTE-OS8B, ROUTE-OS8BSEC | 無し | - |
| 18 | AX620R | 本脆弱性には該当しません | - | - |
| 19 | AX-Netowrker's-Utility, AX-ON-API-SDK, AX-Config-Master |
本脆弱性には該当しません | - | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
ソフトウェアの入手方法
ソフトウェアの入手につきましては、ご購入元にご確認ください。
