不正なIKEv2パケットによりIKEv2デーモンが異常終了する脆弱性
不正なIKEv2パケットを受信したとき、IKEv2デーモンが異常終了する可能性があります。
- 報告日
-
2025/06/19
該当状況
次の機種およびバージョンが影響を受けます。
機種 | バージョン |
---|---|
SA-W2 | 4.80 - 5.52 |
SA-W2L | 4.80 - 5.52 |
SA-W2S | 5.00 - 5.52 |
IKEv2のプロポーザルに楕円曲線アルゴリズムを含む場合、不正なIKEv2パケットを受信するとIKEv2デーモンが異常終了する可能性があります。 異常終了が発生した場合は自動復旧しないため、本装置を再起動する必要があります。
該当する楕円曲線アルゴリズムは次の通りです。
-
ecp192, ecp224, ecp256, ecp384, ecp521
※コンフィグに "interface.ipsec.ike.v2.proposal.ike-sa.dh-group..algorithm" が設定されていない場合は、デフォルトのプロポーザルにecp521が含まれるため本脆弱性の影響を受ける可能性があります。
SA-Wシリーズにおける対応
本脆弱性を修正したモジュールをリリースしました。
下記のバージョン以降のモジュールへの早急な変更を推奨します。
機種 | バージョン |
---|---|
SA-W2 | 5.53 |
SA-W2L | 5.53 |
SA-W2S | 5.53 |
設定による回避
本装置のIKEv2が扱う楕円曲線アルゴリズムのうち、次のアルゴリズムを含まないIKEプロポーザルを明示的に設定することで事象の発生を回避できます。
-
ecp192, ecp224, ecp256, ecp384, ecp521
関連情報
-
-
012: SECURITY FIX: April 9, 2025 All architectures
-