＝：当該機能をサポートしていないためac 米兰官网なし

milan米兰体育官方网站milan米兰体育官方网站FITELnetシリーズは、国内開発・製造の純国産品ac 米兰官网

ac 米兰官网

2006年04月25日初版
2006年06月19日 FITELnet-F80の対応情報を追加
2006年06月19日 FITELnet-ac 米兰官网00（Ver2系）の対応情報を追加
2006年07月03日 FITELnet-ac 米兰官网000（Ver2系）の対応情報を追加
2006年07月24日 FITELnet-ac 米兰官网20の対応情報を追加
2006年07月31日 FITELnet-ac 米兰官网00（Ver1系）の対応情報を追加
2006年07月31日 FITELnet-ac 米兰官网000（Ver1系）の対応情報を追加
2007年02月15日 NISCC のリンクを修正
2008年05月14日 NISCC のリンクを修正
2008年10月29日 FITELnet-F40の対応情報を追加

○概要

　DNSプロトコルの実装において、ac 米兰官网問題が確認されております。この脆弱性を攻撃することにより、様々な問題が発生する場合があることが指摘されています。

・参考情報

○当社製品に対するac 米兰官网

当社製品に対するac 米兰官网は次の通りです。

×：ac 米兰官网あり
−：当該機能をサポートしているがac 米兰官网なし
＝：当該機能をサポートしていないためac 米兰官网なし

製品名	ProxyDNS/cl	ProxyDNS/sv	Resolver	PKI-Resolver
FITELnet-ac 米兰官网00	−	×	−	×
FITELnet-ac 米兰官网000	−	×	−	×
FITELnet-F80	−	×	−	×
FITELnet-ac 米兰官网20	−	×	−	×
FITELnet-F40	−	×	＝	×
FITELnet-E20/E30	−	×	＝	＝
MUCHO-EV/PK	＝	＝	＝	×
FITELnet-F3000	＝	＝	−	＝

◎ProxyDNS/clは下位クライアントに対するac 米兰官网
◎ProxyDNS/svは上位DNSサーバに対するac 米兰官网

○回避方法

以下の方法により、ac 米兰官网回避することが可能となります。
・ProxyDNS機能を利用しない
・PKI用リゾルバ機能を利用しない

以下の方法により、ac 米兰官网緩和できる場合があります。
・ProxyDNSにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する
・PKI用リゾルバにおいて、上位DNSサーバとして信頼できるDNSサーバのみを指定する

○設定方法

以下の方法により、各機能をOFFもしくは利用しないようにできます。

１．ProxyDNS 機能

・FITELnet-F80/ac 米兰官网00/ac 米兰官网20/ac 米兰官网000
proxydns mode コマンドを削除することで、ProxyDNS 機能を off にすることができます（デフォルトでは設定されておらず、off です）。

ac 米兰官网40
proxydns off と設定することで ProxyDNS 機能を off にすることができます（デフォルトの設定は on です）。

・FITELnet-E20/E30
コマンドにより、ProxyDNS 機能を off にすることはできません。
ProxyDNS 機能を使わない場合、次のようにフィルタリングすることで、本脆弱性を回避することができます。

　ipfiltering -d add dst=192.168.1.254,255.255.255.255 dstport=53,53 src=0.0.0.0,0.0.0.0 prot=tcp/udp recvif=lan half

　＊FITELnet-E20/E30 の LAN インターフェースの IP アドレスが 192.168.1.254 の場合。

２．PKI リゾルバ機能

PKI リゾルバ機能は off にすることはできません。
Phase 1 の認証で証明書を利用しない場合、本機能は利用されません。
証明書を使って認証する場合でも、CRL による証明書の有効性確認を行わない場合、本機能は利用されません。
CRL による証明書の有効性確認を行う場合でも、CRL を LDAP サーバから取得できる場合は、本機能を利用しないようにすることができます。
各機種の詳細について下記に示します。

・FITELnet-F80/ac 米兰官网00/ac 米兰官网20/ac 米兰官网000
crypto ca identity 設定モードにおいて、crl-optional must に設定されている、もしくは、crl-optional を設定していない場合、CRL による証明書の有効性確認を行います。
そして、crypto ca identity 設定モードにおいて、name-server が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
crypto ca identity 設定モードにおいて、query-ip が設定されていて、LDAP サーバから CRL を取得できるような場合、name-server を削除することで、PKI リゾルバ機能を利用しないようにすることができます。

ac 米兰官网40 および MUCHO-EV/PK
vpncertparam コマンドで、crl=must もしくは crl=use に設定されている場合、CRL による証明書の有効性確認を行います。
そして、vpncertparam コマンドで、nameserver が設定されている場合、PKI リゾルバ機能を利用して、証明書に URL で示されている配布ポイントに CRL を取得しに行きます。
vpncertparam コマンドで、ldapserver が設定されていて、LDAP サーバから CRL を取得できるような場合、nameserver=0.0.0.0 とすることで、PKI リゾルバ機能を利用しないようにすることができます。

○対策ファームウェア

ac 米兰官网を受ける製品について、本脆弱性に対応したファームウェアを現在準備中です。
提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。

ac 米兰官网80　：德赢ac米兰官方合作伙伴機能の改善　２にて対策しました(2006/06/19)。
・FITELnet-ac 米兰官网00　：milan米兰体育官方网站機能の改善　２にて対策しました(2006/06/19)。
・FITELnet-ac 米兰官网000　：V02.05(01)のファームウェアにて対策しました(2006/07/03)。
・FITELnet-ac 米兰官网20　：V02.02(01)のファームウェアにて対策しました(2006/07/24)。
・FITELnet-ac 米兰官网00　：V01.21(03)のファームウェアにて対策しました(2006/07/31)。
・FITELnet-ac 米兰官网000　：V01.12(02)のファームウェアにて対策しました(2006/07/31)。
ac 米兰官网40　：V03.16のファームウェアにて対策しました(2008/10/29)。

このページに関するお問い合わせはこちらまで
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006