AX-VU2015-02「NTPの脆弱性(VU#374268)」に関するご報告
AX第1版 2015-5-18
AX第2版 2015-11-4
AX第3版 2015-11-27
アラクサラネットワークス株式会社
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
出典
- US-CERT Vulnerability Note VU#374268
Date: April 7, 2015
Topic: NTP Project ntpd reference implementation contains multiple vulnerabilities - JP-CERT
概要
NTP機能において、複数の脆弱性が報告されました。
影響
本脆弱性には、次の2つの脆弱性が含まれています。
- CVE-2015-1798: ntpd accepts unauthenticated packets with symmetric key crypto
- CVE-2015-1799: authentication doesn't protect symmetric associations against DoS attacks
それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。
各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
| No | 装置シリーズ名 | CVE-2015-1798 | CVE-2015-1799 |
|---|---|---|---|
| 1 | AX8600S | 全Ver | - |
| 2 | AX7800S | 全Ver | - |
| 3 | AX6700S | 全Ver | - |
| 4 | AX6600S | 全Ver | - |
| 5 | AX6300S | 全Ver | - |
| 6 | AX5400S | 全Ver | - |
| 7 | AX4600S | 全Ver | - |
| 8 | AX3800S | 全Ver | - |
| 9 | AX3600S | 全Ver | - |
| 10 | AX2500S | - | - |
| 11 | AX2400S | 全Ver | - |
| 12 | AX2200S | - | - |
| 13 | AX1200S | - | - |
| 14 | AX8600R | 全Ver | - |
| 15 | AX7800R | 全Ver | - |
| 16 | AX7700R | 全Ver | - |
| 17 | AX2000R | 全Ver | - |
| 18 | AX620R | - | - |
| 19 | AX-Netowrker's-Utility, AX-ON-API-SDK, AX-Config-Master |
- | - |
回避方法
CVE-2015-1798
<AX7800S><AX5400S><AX7800R><AX7700R><AX2000R>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
<AX8600S><AX6700S><AX6600S><AX6300S><AX8600R>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
<AX4600S><AX3800S><AX3600S><AX2400S>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
対策
本脆弱性の対策版ソフトウェアの適用をお願いします。
| No | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | AX8600S | OS-SE | Ver 12.4.D | リリース済 |
| 2 | AX7800S | OS-SW, OS-SWE | Ver 10.10.S | リリース済 |
| 3 | AX6700S | OS-SE | Ver 11.9.L | リリース済 |
| 4 | AX6600S | OS-SE | Ver 11.9.L | リリース済 |
| 5 | AX6300S | OS-SE | Ver 11.9.L | リリース済 |
| 6 | AX5400S | OS-SW, OS-SWE | Ver 10.10.S | リリース済 |
| 7 | AX4600S | OS-L3CA,OS-L3CL | Ver 11.13 | リリース済 |
| 8 | AX3800S | OS-L3SA, OS-L3SL | Ver 11.14.A | リリース済 |
| 9 | AX3600S | OS-L3SA, OS-L3SL OS-L3A, OS-L3L |
Ver 11.14.A | リリース済 |
| 10 | AX2500S | 本脆弱性には該当しません | - | - |
| 11 | AX2400S | OS-L2 | Ver 11.7.K | リリース済 |
| 12 | AX2200S | 本脆弱性には該当しません | - | - |
| 13 | AX1200S | 本脆弱性には該当しません | - | - |
| 14 | AX8600R | OS-RE | Ver 12.4.D | リリース済 |
| 15 | AX7800R | OS-R, OS-RE | Ver 10.10.S | リリース済 |
| 16 | AX7700R | OS-R, OS-RE | Ver 10.10.S | リリース済 |
| 17 | AX2000R | ROUTE-OS8B, ROUTE-OS8BSEC | 無し | - |
| 18 | AX620R | 本脆弱性には該当しません | - | - |
| 19 | AX-Netowrker's-Utility, AX-ON-API-SDK, AX-Config-Master |
本脆弱性には該当しません | - | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
ソフトウェアの入手方法
ソフトウェアの入手につきましては、ご購入元にご確認ください。
