AX-VU2021-01「IP/TCP/UDP脆弱性(URGENT/11)」に関するご報告
AX第1版 2021-3-26
アラクサラネットワークス株式会社
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、IP/TCP/UDP脆弱性(URGENT/11)について報告致します。
出典
- US-CERT ICS Advisory
概要
URGENT/11と称される複数の脆弱性により、不正なパケット受信で装置が再起動する可能性があります。
影響
不正なIP/TCP/UDPパケットを受信した場合、以下何れかの現象が発生する場合があります。
- IPアドレスを設定している場合、装置が再起動する可能性があります。
- ゼロタッチプロビジョニング機能を使用している場合は、構成情報を取得できないまま装置が起動し通信不可となる可能性があります。
なお,URGENT/11には11件の脆弱性が含まれており、このうち5件について弊社製品への影響があります。その他6件は影響ありません。
[影響あり]
CVE-2019-12255、CVE-2019-12257、CVE-2019-12258、CVE-2019-12261、CVE-2019-12264
[影響なし]
CVE-2019-12256、CVE-2019-12259、CVE-2019-12260、CVE-2019-12262、CVE-2019-12263、CVE-2019-12265
回避方法
信頼できる接続先ではない遠隔からのIP/TCP/UDPパケットをフィルタ機能で廃棄する運用をお願いいたします。
対策
本脆弱性の影響を受ける弊社製品と対策バージョン情報を次の表に記載します。
本脆弱性の対策版ソフトウェアの適用をお願いします。
影響を受ける装置とソフトウェアバージョン
| No | 装置シリーズ名 | 影響バージョン | 対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | AX2500S | Ver 4.21以前の全バージョン | Ver 4.22 | 2021年3月 |
| 2 | AX260A | Ver 4.21以前の全バージョン | Ver 4.22 | 2021年3月 |
| 3 | その他製品 | 本脆弱性には該当しません | - | ― |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
ソフトウェアの入手方法
ソフトウェアの入手につきましては、ご購入元にご確認ください。
