不正なIKEv2パケットによりIKEv2デーモンが異常終了する脆弱性

不正なIKEv2パケットを受信したとき、IKEv2デーモンが異常終了する可能性があります。

報告日

2025/06/19

該当状況

次の機種およびバージョンが影響を受けます。

機種 バージョン
SA-W2 4.80 - 5.52
SA-W2L 4.80 - 5.52
SA-W2S 5.00 - 5.52

IKEv2のプロポーザルに楕円曲線アルゴリズムを含む場合、不正なIKEv2パケットを受信するとIKEv2デーモンが異常終了する可能性があります。 異常終了が発生した場合は自動復旧しないため、本装置を再起動する必要があります。

該当する楕円曲線アルゴリズムは次の通りです。

  • ecp192, ecp224, ecp256, ecp384, ecp521

※コンフィグに "interface.ipsec.ike.v2.proposal.ike-sa.dh-group..algorithm" が設定されていない場合は、デフォルトのプロポーザルにecp521が含まれるため本脆弱性の影響を受ける可能性があります。

SA-Wシリーズにおける対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降のモジュールへの早急な変更を推奨します。

機種 バージョン
SA-W2 5.53
SA-W2L 5.53
SA-W2S 5.53

設定による回避

本装置のIKEv2が扱う楕円曲線アルゴリズムのうち、次のアルゴリズムを含まないIKEプロポーザルを明示的に設定することで事象の発生を回避できます。

  • ecp192, ecp224, ecp256, ecp384, ecp521

関連情報