Point-to-Pointインタフェースで意図しないIPv4パケットを受信する脆弱性

Point-to-Pointインタフェースに/32以外のIPv4アドレスを付与またはUnnumberd設定を行った場合にネットワークアドレス宛のIPv4パケットおよびブロードキャストアドレス宛のTCPをSA-W1自身が受信してしまう脆弱性があります。

報告日

2014/06/12

該当状況

次の機種およびバージョンが影響を受けます。

MODEL Module Version
SA-W1 1.00 - 1.53

SA-W1への影響内容

問題となるネットワークアドレスおよびブロードキャストアドレスは、以下のものが含まれます。 括弧内は一例として 172.16.1.1/24 を利用した場合のアドレスです。

  • classful ネットワークアドレス (172.16.0.0/24)

  • subnetted ネットワークアドレス (172.16.1.0/24)

  • subnet directed ブロードキャストアドレス (172.16.1.255/24)

  • all-subnets directed ブロードキャストアドレス (172.16.255.255/24)

SA-W1における対応

次のモジュールバージョンにおいて本脆弱性の影響を低減させる修正を行いました。 以降のバージョンへの早急なアップデートを推奨します。

MODEL Module Version
SA-W1 1.54
  • Point-to-Pointインタフェースでは各種ネットワークアドレスおよびdirectedブロードキャストアドレス宛のIPv4パケットは自身宛として処理しなくなります。

  • limitedブロードキャスト(255.255.255.255)は引き続き自身宛として処理されます。

設定による回避策

各Point-to-Pointインタフェース毎に各種ネットワークアドレスおよびブロードキャストアドレスに対するIPパケットフィルタを設定しSA-W1自身が受信しないようにしてください。 これらは filter コマンドの self の対象とならないため明示的に指定する必要があります。

ネットワークアドレスおよびブロードキャストアドレスがUnnumberedインタフェースの場合、ge1インタフェースのアドレスを元に設定してください。

classfulネットワークアドレス:

filter.ipv4.0.label               : "class_net_deny"
    filter.ipv4.0.interface           : <インタフェース名>
    filter.ipv4.0.direction           : in
    filter.ipv4.0.action              : block
    filter.ipv4.0.destination.address : <classful ネットワークアドレス>

subnetted ネットワークアドレス:

filter.ipv4.1.label               : "sub_net_deny"
    filter.ipv4.1.interface           : <インタフェース名>
    filter.ipv4.1.direction           : in
    filter.ipv4.1.action              : block
    filter.ipv4.1.destination.address : <subnetted ネットワークアドレス>

subnet directed ネットワークアドレス:

filter.ipv4.2.label               : "sub_bc_deny"
    filter.ipv4.2.interface           : <インタフェース名>
    filter.ipv4.2.direction           : in
    filter.ipv4.2.action              : block
    filter.ipv4.2.destination.address : <subnet directed ネットワークアドレス>

all-subnets directed ネットワークアドレス:

filter.ipv4.3.label               : "allsub_bc_deny"
    filter.ipv4.3.interface           : <インタフェース名>
    filter.ipv4.3.direction           : in
    filter.ipv4.3.action              : block
    filter.ipv4.3.destination.address : <all-subnets directed ネットワークア ドレス>