AX-VU2015-02「NTPの脆弱性(VU#374268)」に関するご報告

AX第1版 2015-5-18
AX第2版 2015-11-4
AX第3版 2015-11-27
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

出典

US-CERT Vulnerability Note VU#374268
Date: April 7, 2015
Topic: NTP Project ntpd reference implementation contains multiple vulnerabilities
JP-CERT

概要

NTP機能において、複数の脆弱性が報告されました。

 

影響

本脆弱性には、次の2つの脆弱性が含まれています。

CVE-2015-1798: ntpd accepts unauthenticated packets with symmetric key crypto
CVE-2015-1799: authentication doesn't protect symmetric associations against DoS attacks

それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。

各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

影響を受ける装置と影響バージョン
No 装置シリーズ名 CVE-2015-1798 CVE-2015-1799
1 AX8600S 全Ver
2 AX7800S 全Ver
3 AX6700S 全Ver
4 AX6600S 全Ver
5 AX6300S 全Ver
6 AX5400S 全Ver
7 AX4600S 全Ver
8 AX3800S 全Ver
9 AX3600S 全Ver
10 AX2500S
11 AX2400S 全Ver
12 AX2200S
13 AX1200S
14 AX8600R 全Ver
15 AX7800R 全Ver
16 AX7700R 全Ver
17 AX2000R 全Ver
18 AX620R
19 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master

回避方法

CVE-2015-1798

<AX7800S><AX5400S><AX7800R><AX7700R><AX2000R>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

<AX8600S><AX6700S><AX6600S><AX6300S><AX8600R>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<AX4600S><AX3800S><AX3600S><AX2400S>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

対策

本脆弱性の対策版ソフトウェアの適用をお願いします。

No 装置シリーズ名 対象ソフトウェア
製品略称
対策バージョン 対策版リリース日
1 AX8600S OS-SE Ver 12.4.D リリース済
2 AX7800S OS-SW, OS-SWE Ver 10.10.S リリース済
3 AX6700S OS-SE Ver 11.9.L リリース済
4 AX6600S OS-SE Ver 11.9.L リリース済
5 AX6300S OS-SE Ver 11.9.L リリース済
6 AX5400S OS-SW, OS-SWE Ver 10.10.S リリース済
7 AX4600S OS-L3CA,OS-L3CL Ver 11.13 リリース済
8 AX3800S OS-L3SA, OS-L3SL Ver 11.14.A リリース済
9 AX3600S OS-L3SA, OS-L3SL
OS-L3A, OS-L3L
Ver 11.14.A リリース済
10 AX2500S 本脆弱性には該当しません
11 AX2400S OS-L2 Ver 11.7.K リリース済
12 AX2200S 本脆弱性には該当しません
13 AX1200S 本脆弱性には該当しません
14 AX8600R OS-RE Ver 12.4.D リリース済
15 AX7800R OS-R, OS-RE Ver 10.10.S リリース済
16 AX7700R OS-R, OS-RE Ver 10.10.S リリース済
17 AX2000R ROUTE-OS8B, ROUTE-OS8BSEC 無し
18 AX620R 本脆弱性には該当しません
19 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master
本脆弱性には該当しません

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

ソフトウェアの入手につきましては、ご購入元にご確認ください。