ネットワーク機器トップヘッダー
milan米兰体育官方网站milan米兰体育官方网站FITELnetシリーズは、国内開発・製造の純国産品TCP実装のICMPエラーメッセージの処理に関する脆弱性の問題について


TCP実装のICMPエラーメッセージの処理に関する脆弱性の問題について

2005年4月19日 初版
2005年5月31日 FITELnet-F40の対応情報を追加
2005年6月17日 FITELnet-ac 米兰官网00/ac 米兰官网000(Ver2系)の対応情報を追加
2005年6月30日 FITELnet-ac 米兰官网00/ac 米兰官网000(Ver1系)の対応情報を追加
2006年1月17日 FITELnet-E20/E30の対応情報を追加
2006年5月19日 FITELnet-ac 米兰官网20の対応情報を追加
2007年2月15日 NISCC と IETF のリンクを修正
2008年5月14日 NISCC のリンクを修正

○概要

TCP/IPの実装において、ICMPメッセージの処理に関する脆弱性の問題が確認されております。これはICMPメッセージを悪用することにより、TCPのコネクションをリセットしたり、スループットの低下を引き起こしたりできるというもので、以下のような問題が指摘されております。
  1. ICMPエラーメッセージ(IPv4:type=3 code=2、3、4 IPv6:type=1 code=1、4)によるTCPコネクションの切断

  2. PMTUD(Path MTU Discovery ICMPv4:type=3 code=4、ICMPv6:type=2 code=0のメッセージを利用)を悪用したTCPコネクションの速度低下

  3. ICMP Source Quenchメッセージ(IPv4:type=4 code=0、IPv6は該当するメッセージなし)によるTCPコネクションの速度低下

・参考情報

○当社製品に対する影響

当社製品に対する影響は次の通りです。
概要で示した1の問題をHard Error、2の問題をPMTUD、3の問題をSource Quenchとしています。


[IPv4]
−:影響なし、×:影響あり
製品名 Hard Error PMTUD Source Quench
FITELnet-ac 米兰官网000 ×
FITELnet-ac 米兰官网20 ×
FITELnet-ac 米兰官网00 ×
FITELnet-F40 × × ×
FITELnet-E30 × × ×
FITELnet-E20 × ×
MUCHOシリーズ × × ×



[IPv6]
−:影響なし、×:影響あり
製品名 Hard Error PMTUD
FITELnet-ac 米兰官网000 ×
FITELnet-ac 米兰官网20 ×
FITELnet-ac 米兰官网00 ×



○回避方法

該当パケットをフィルタリングすることにより、本脆弱性を回避することができます。
FITELnet-ac 米兰官网00/ac 米兰官网000の場合、ICMPのtype、codeまで指定することができますが、FITELnet-F40、E20/E30、MUCHOシリーズについては、ICMPパケット全体をフィルタリングすることになります。


・FITELnet-ac 米兰官网00/ac 米兰官网20/ac 米兰官网000の例

次のように設定することで、PPPoE1インターフェースに対するICMPv4のSource Quenchメッセージをフィルタリングすることができます。
access-list 100 deny icmp any any source-quench

interface pppoe 1

 ip access-group 100 in interface
また、次のように設定することで、EWAN1インターフェースに対するICMPv6のPacket Too Bigメッセージをフィルタリングすることができます(PMTUD問題対策)。
access-list 3500 deny icmpv6 any 2002:0901::1/64 packet-too-big

interface ewan 1

 ipv6 address 2002:0901::1/64

 ipv6 access-group 3500 in


・FITELnet-F40、E20/E30、MUCHOシリーズの例

次のように設定することで、全てのICMPパケットをフィルタリングすることができます。
ipfiltering -d add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 prot=icmp



○対策ファームウェア

各製品について、本脆弱性に対応したファームウェアを現在準備中です。
提供可能となりました製品につきましては、本ホームページac 米兰官网随時お知らせいたします。

・FITELnet-F40 :国际米兰中文官网の詳細についてはac 米兰官网(2005/05/31)。
・FITELnet-ac 米兰官网00 :V02.01(00)のファームウェアac 米兰官网(2005/06/17)。
・FITELnet-ac 米兰官网000 :V02.01(00)のファームウェアac 米兰官网(2005/06/17)。
・FITELnet-ac 米兰官网00 :国际米兰中文官网 working.cfgrunningac 米兰官网(2005/06/30)。
・FITELnet-ac 米兰官网000 :V01.12(00)のファームウェアac 米兰官网(2005/06/30)。
・FITELnet-ac 米兰官网20 :V02.01(00)のファームウェアac 米兰官网(2005/11/24)。
・FITELnet-E30 :V02.08のファームウェアac 米兰官网(2006/01/17)。
・FITELnet-E20 :V01.16のファームウェアac 米兰官网(2006/01/17)。



このページに関するお問い合わせはこちらまで
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006