- プロダクト・サービス
- ドキュメント
- ダウンロード
- 販売・レンタル
- サポート情報
IPv6 Unicast RPF 機能が strict モードの場合に適切に機能せず、破棄すべきパケットが 通過してしまいます。
2010/08/25
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン |
|---|---|
| SEIL/X1 | 1.00 - 2.73 |
| SEIL/X2 | 1.00 - 2.73 |
| SEIL/B1 | 1.00 - 2.73 |
IPv6 Unicast Reverse Path Forwarding (Unicast RPF) チェック機能が strict モードで正しく動作しません。 このため本来破棄されるべきパケットが破棄されず、受信または転送されてしまいます。 コンフィグ "option ipv6 unicast-rpf strict" を設定している場合に本脆弱性の影響を 受けます。 IPv6 uRPF 機能を利用していても loose モードの場合("option ipv6 unicast-rpf loose") は本脆弱性の影響を受けません。 また、IPv4 uRPF 機能("option ip unicast-rpf ...") も本脆弱性の影響を受けません。
本脆弱性を修正したファームウェアをリリースしました。
下記のバージョン以降への早急な変更を推奨します。
| 機種 | バージョン |
|---|---|
| SEIL/X1 | 2.74 |
| SEIL/X2 | 2.74 |
| SEIL/B1 | 2.74 |
本脆弱性の影響を低減させるために可能な対策を下記に記載します。
IPv6フィルタによるアクセス制限
静的ルーティングのみを利用している場合など、ネットワークの構成によっては filter6 コマンドによるパケットフィルタで IPv6 uRPF 機能の代替とし、本脆弱性の影響を回避 できる場合があります。 送信元 IP アドレスが内部ネットワークのアドレスであるようなパケットが外部インタフェー スから入ってきた場合にそれを破棄するようなパケットフィルタを設定してください。
Japan Vulnerability Notes JVN#12683004
IPv6 Unicast RPF 機能の脆弱性 http://jvn.jp/jp/JVN12683004/index.html