AX-VU2015-01「NTPの脆弱性(VU#852879)」に関するご報告

AX第1版 2015-2-6
AX第2版 2015-5-18
AX第3版 2015-11-4
AX第4版2015-11-27
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

出典

US-CERT Vulnerability Note VU#852879
Date: December 19, 2014
Topic: Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities
JP-CERT

概要

NTP機能において、複数の脆弱性が報告されました。

 

影響

本脆弱性には、次の6つの脆弱性が含まれています。

CVE-2014-9293: Insufficient Entropy in Pseudo-Random Number Generator (PRNG)
CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
CVE-2014-9295: Stack Buffer Overflow
CVE-2014-9296: Error Conditions, Return Values, Status Codes
CVE-2014-9297: Improper Check for Unusual or Exceptional Conditions
CVE-2014-9298: Authentication Bypass by Spoofing

それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。

各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

影響を受ける装置と影響バージョン
No 装置シリーズ名 CVE-2014
-9293
CVE-2014
-9294
CVE-2014
-9295
CVE-2014
-9296
CVE-2014
-9297
CVE-2014
-9298
1 AX8600S 全Ver
2 AX7800S 全Ver Ver 10.10.R より前
3 AX6700S 全Ver Ver 11.9.G より前
4 AX6600S 全Ver Ver 11.9.G より前
5 AX6300S 全Ver Ver 11.9.G より前
6 AX5400S 全Ver Ver 10.10.R より前
7 AX4600S 全Ver
8 AX3800S 全Ver Ver 11.12 より前
9 AX3600S 全Ver Ver 11.11.Bより前(AX3630S)
Ver 11.12 より前(他)
10 AX2500S
11 AX2400S 全Ver Ver 11.7.G より前
12 AX2200S
13 AX1200S
14 AX8600R 全Ver Ver 12.2 より前
15 AX7800R 全Ver Ver 10.10.R より前
16 AX7700R 全Ver Ver 10.10.R より前
17 AX2000R 全Ver 全Ver
18 AX620R
19 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master

回避方法

CVE-2014-9293 / CVE-2014-9295

AX7800S・AX5400S・AX7800R・AX7700R・AX2000R

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295の脆弱性を回避できます。

ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1

本設定をおこなっても、NTP機能は継続して運用可能です。

AX8600S・AX6700S・AX6600S・AX6300S・AX8600R

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

AX4600S・AX3800S・AX3600S・AX2400S

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

対策

本脆弱性の対策版ソフトウェアの適用をお願いします。

No 装置シリーズ名 対象ソフトウェア
製品略称
対策バージョン 対策版リリース日
1 AX8600S OS-SE Ver 12.4.D リリース済
2 AX7800S OS-SW, OS-SWE Ver 10.10.S リリース済
3 AX6700S OS-SE Ver 11.9.L リリース済
4 AX6600S OS-SE Ver 11.9.L リリース済
5 AX6300S OS-SE Ver 11.9.L リリース済
6 AX5400S OS-SW, OS-SWE Ver 10.10.S リリース済
7 AX4600S OS-L3CA,OS-L3CL Ver 11.13 リリース済
8 AX3800S OS-L3SA, OS-L3SL Ver 11.14.A リリース済
9 AX3600S OS-L3SA, OS-L3SL
OS-L3A, OS-L3L
Ver 11.14.A リリース済
10 AX2500S 本脆弱性には該当しません
11 AX2400S OS-L2 Ver 11.7.K リリース済
12 AX2200S 本脆弱性には該当しません
13 AX1200S 本脆弱性には該当しません
14 AX8600R OS-RE Ver 12.4.D リリース済
15 AX7800R OS-R, OS-RE Ver 10.10.S リリース済
16 AX7700R OS-R, OS-RE Ver 10.10.S リリース済
17 AX2000R ROUTE-OS8B, ROUTE-OS8BSEC 無し
18 AX620R 本脆弱性には該当しません
19 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master
本脆弱性には該当しません

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

ソフトウェアの入手につきましては、ご購入元にご確認ください。