IPsecに複数の脆弱性

NetBSD IPsecに複数の脆弱性が発見され、中間者攻撃や特定のパケットを送信することによって、システムが再起動する脆弱性があります。これによりサービス運用妨害(DoS)攻撃を受ける可能性があります。

報告日

2018/05/31

該当状況

次の機種およびバージョンが影響を受けます。

MODEL Module Version
SA-W1 1.01 - 3.72
SA-W2 2.00 - 3.72

SA-Wシリーズへの影響内容

NetBSD Security Advisory 2018-007 として公開された NetBSD IPsecの脆弱性のうち、以下の問題に該当します。

1) 極めて小さなAHパケットを転送すると、システムが再起動する可能性があります。これは本装置自身がIPsecを終端しないコンフィグであっても該当します。これにより遠隔の第三者から攻撃を受ける可能性があります。

3) ESPパケットの受信時にメモリ確保が失敗すると、システムが再起動する可能性があります。

4) IPv6 IPsecの接続対向から暗号パケットを受信したとき、復号後のパケット長がIPヘッダのサイズに満たない場合、システムが再起動する可能性があります。これによりIPsecの接続対向から攻撃を受ける可能性があります。

6) 特定のサイズに分割されたIPv6 ESPパケットを受信するとシステムが再起動する可能性があります。これにより中間者から攻撃を受ける可能性があります。

SA-Wシリーズにおける対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降のモジュールへの早急な変更を推奨します。

MODEL Module Version
SA-W1 3.73
SA-W2 3.73

設定による回避策

1) の脆弱性の影響を低減させるために可能な対策を下記に記載します。

A- HパケットをブロックするIPパケットフィルタの設定を追加する

設定例:

filter.ipv4.999.action     : block
filter.ipv4.999.interface  : any
filter.ipv4.999.protocol   : 51
filter.ipv4.999.direction  : in
filter.ipv6.999.action     : block
filter.ipv6.999.interface  : any
filter.ipv6.999.protocol   : 51
filter.ipv6.999.direction  : in

3), 4), 6) について設定による回避はできません。

関連情報