Point-to-Pointインタフェースで意図しないIPv4パケットを受信する脆弱性
Point-to-Pointインタフェースに/32以外のIPv4アドレスを付与またはUnnumbered設定を行った場合にネットワークアドレス宛のIPv4パケットおよびブロードキャストアドレス宛のTCPをSA-W1自身が受信してしまう脆弱性があります。
- 報告日
-
2014/06/12
該当状況
次の機種およびバージョンが影響を受けます。
MODEL | Module Version |
---|---|
SA-W1 | 1.00 - 1.53 |
SA-W1への影響内容
問題となるネットワークアドレスおよびブロードキャストアドレスは、以下のものが含まれます。 括弧内は一例として 172.16.1.1/24 を利用した場合のアドレスです。
-
classful ネットワークアドレス (172.16.0.0/24)
-
subnetted ネットワークアドレス (172.16.1.0/24)
-
subnet directed ブロードキャストアドレス (172.16.1.255/24)
-
all-subnets directed ブロードキャストアドレス (172.16.255.255/24)
SA-W1における対応
次のモジュールバージョンにおいて本脆弱性の影響を低減させる修正を行いました。 以降のバージョンへの早急なアップデートを推奨します。
MODEL | Module Version |
---|---|
SA-W1 | 1.54 |
-
Point-to-Pointインタフェースでは各種ネットワークアドレスおよびdirectedブロードキャストアドレス宛のIPv4パケットは自身宛として処理しなくなります。
-
limitedブロードキャスト(255.255.255.255)は引き続き自身宛として処理されます。
設定による回避策
各Point-to-Pointインタフェース毎に各種ネットワークアドレスおよびブロードキャストアドレスに対するIPパケットフィルタを設定しSA-W1自身が受信しないようにしてください。 これらは filter コマンドの self の対象とならないため明示的に指定する必要があります。
ネットワークアドレスおよびブロードキャストアドレスがUnnumberedインタフェースの場合、ge1インタフェースのアドレスを元に設定してください。
classfulネットワークアドレス:
filter.ipv4.0.label : "class_net_deny"
filter.ipv4.0.interface : <インタフェース名>
filter.ipv4.0.direction : in
filter.ipv4.0.action : block
filter.ipv4.0.destination.address : <classful ネットワークアドレス>
subnetted ネットワークアドレス:
filter.ipv4.1.label : "sub_net_deny"
filter.ipv4.1.interface : <インタフェース名>
filter.ipv4.1.direction : in
filter.ipv4.1.action : block
filter.ipv4.1.destination.address : <subnetted ネットワークアドレス>
subnet directed ネットワークアドレス:
filter.ipv4.2.label : "sub_bc_deny"
filter.ipv4.2.interface : <インタフェース名>
filter.ipv4.2.direction : in
filter.ipv4.2.action : block
filter.ipv4.2.destination.address : <subnet directed ネットワークアドレス>
all-subnets directed ネットワークアドレス:
filter.ipv4.3.label : "allsub_bc_deny"
filter.ipv4.3.interface : <インタフェース名>
filter.ipv4.3.direction : in
filter.ipv4.3.action : block
filter.ipv4.3.destination.address : <all-subnets directed ネットワークア ドレス>