A01220
不完全なOPENメッセージを受信するとBGP機能が一時的に動作を停止する可能性がある脆弱性を修正しました。
- 関係する機能
- 経路制御
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X1, SEIL/X2 | 3.71 | 3.70 ~ 3.71 |
| SEIL/B1 | 3.71 | 3.70 ~ 3.71 |
| SEIL/x86 Fuji | 2.32 | 未確認 |
不具合の説明
不完全なOPENメッセージを受信するとBGP機能が一時的に動作を停止する可能性があります。
不具合発生の確認方法
BGPを使用した動的経路制御の機能が有効になっており、かつ偽装されたOPENメッセージを受信することで、第三者からのサービス運用妨害攻撃(Denial of Service)を受ける可能性があります。
回避・復旧手段
本脆弱性の影響を低減させるための可能な対策は以下の通りです。
-
BGP 機能を無効に設定する
- BGP機能を利用する必要が無い場合、無効に設定しておくことを推奨します。
- route dynamic bgp disable
-
不要なBGPの設定を削除する
- 不要なBGPピア設定があれば、削除しておくことを推奨します。
- route dynamic bgp neighbor delete <IPaddress>
-
信頼できないネットワークからのBGPメッセージをfilterコマンドを用いて遮断する
- 信頼できないネットワークからの攻撃パケットを受け取らないようにフィルタを設定しておくことを推奨します。
- filter add BGP_DENY interface <interface> direction in action protocol tcp dst self dstport 179
変更・修正内容
不完全なOPENメッセージを受信するとBGP機能が一時的に動作を停止する可能性がある脆弱性を修正しました。