AX-VU2016-03「NTPの脆弱性(VU#718152、VU#321640)」に関するご報告

AX第1版 2016-10-31
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

出典

US-CERT Vulnerability Note VU# 718152
Topic: NTP.org ntpd contains multiple vulnerabilities
US-CERT Vulnerability Note VU#321640
Topic: NTP.org ntpd is vulnerable to denial of service and other vulnerabilities
JP-CERT

概要

NTP機能において、複数の脆弱性(VU#718152およびVU#321640)が報告されました。
本報告には、以下の脆弱性が含まれています。

VU#718152

CVE-2015-7973: Authentication Bypass by Capture-replay
CVE-2015-7974: Improper Input Validation
CVE-2015-7975: Improper Input Validation
CVE-2015-7976: Improper Input Validation
CVE-2015-7977: NULL Pointer Dereference
CVE-2015-7978: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2015-7979: Incorrect Synchronization
CVE-2015-8138: Improper Input Validation
CVE-2015-8139: Information Exposure
CVE-2015-8140: Authentication Bypass by Capture-replay
CVE-2015-8158: Uncontrolled Resource Consumption ('Resource Exhaustion')
CVE-2016-1547: Incorrect Synchronization
CVE-2016-1548: Authentication Bypass by Spoofing
CVE-2016-1549: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
CVE-2016-1550: Improper Input Validation
CVE-2016-1551: Authentication Bypass by Spoofing
CVE-2016-2516, CVE-2016-2517: Improper Input Validation
CVE-2016-2518: Out-of-bounds Read
CVE-2016-2519: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2015-7704, CVE-2015-7705: Improper Input Validation

VU#321640

CVE-2016-4957: CRYPTO-NAK denial of service introduced in Sec 3007 patch.
CVE-2016-4953: Bad authentication demobilizes ephemeral associations.
CVE-2016-4954: Processing of spoofed server packets affects peer variables.
CVE-2016-4955: Autokey associations may be reset when repeatedly receiving spoofed packets.
CVE-2016-4956: Broadcast associations are not covered in Sec 2978 patch.

影響

報告された脆弱性の内、次の項目で製品が影響を受ける可能性があります。

『VU#718152』で報告されているCVE-2015-7973,CVE-2015-7979, CVE-2016-1550
『VU#321640』で報告されているCVE-2016-4953,CVE-2016-4954

影響による事象は、不正なパケット受信契機でピア切断等が発生することが考えられます。
それぞれの影響内容の詳細につきましては、【出典】を参照いただきますようお願いします。

各脆弱性の影響を受ける弊社製品とバージョン情報を次の表にまとめます。
表中の”-“は非該当です。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

No 装置シリーズ名 影響を受けるバージョン
1 AX8600S Ver 12.6.B以前
2 AX8300S Ver 12.6.B以前
3 AX7800S 全Ver
4 AX6700S 全Ver
5 AX6600S 全Ver
6 AX6300S 全Ver
7 AX5400S 全Ver
8 AX4600S 全Ver
9 AX3800S Ver 11.14.E以前
10 AX3600S Ver 11.14.E以前
11 AX2500S -
12 AX2400S 全Ver
13 AX2200S -
14 AX1200S -
15 AX260A -
16 AX8600R Ver 12.6.B以前
17 AX7800R 全Ver
18 AX7700R 全Ver
19 AX2000R 全Ver
20 AX620R -
21 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master
-

回避方法

次の方法で、影響を受ける可能性を低減できます。

<AX7800S> <AX5400S> <AX7800R> <AX7700R> <AX2000R>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

<AX8600S> <AX8300S> <AX6700S> <AX6600S> <AX6300S> <AX8600R>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<AX4600S> <AX3800S> <AX3600S> <AX2400S>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

対策

本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。

No 装置シリーズ名 対象ソフトウェア
製品略称
対策バージョン 対策版リリース日
1 AX8600S OS-SE Ver 12.6.C リリース済
2 AX8300S OS-SE Ver 12.6.C リリース済
3 AX7800S OS-SW, OS-SWE 検討中 検討中
4 AX6700S OS-SE 検討中 検討中
5 AX6600S OS-SE 検討中 検討中
6 AX6300S OS-SE 検討中 検討中
7 AX5400S OS-SW, OS-SWE 無し
8 AX4600S OS-L3CA,OS-L3CL 検討中 検討中
9 AX3800S OS-L3SA, OS-L3SL Ver 11.14.F リリース済
10 AX3600S OS-L3SA, OS-L3SL
OS-L3A, OS-L3L
Ver 11.14.F リリース済*1
11 AX2500S 本脆弱性には該当しません
12 AX2400S OS-L2 無し
13 AX2200S 本脆弱性には該当しません
14 AX1200S 本脆弱性には該当しません
15 AX260A 本脆弱性には該当しません
16 AX8600R OS-RE Ver 12.6.C リリース済
17 AX7800R OS-R, OS-RE 検討中 検討中
18 AX7700R OS-R, OS-RE 無し
19 AX2000R ROUTE-OS8B, ROUTE-OS8BSEC 無し
20 AX620R 本脆弱性には該当しません
21 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master
本脆弱性には該当しません
*1
AX3630Sにおいては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

ソフトウェアの入手につきましては、ご購入元にご確認ください。