ネットワーク機器トップヘッダー
milan米兰体育官方网站milan米兰体育官方网站FITELnetシリーズは、国内開発・製造の純国産品RSA国际米兰中文官网による脆弱性について


RSA 国际米兰中文官网による脆弱性(Parasitic Public Key)について


2006年9月29日 初版
2006年12月4日 FITELnet-F100(Ver2系)の対応情報を追加
2006年12月4日 FITELnet-F1000(Ver2系)の対応情報を追加
2007年1月15日 FITELnet-F80の対応情報を追加
2007年3月5日 FITELnet-F120の対応情報を追加
2008年5月14日 NISCC のリンクを修正

○概要

RSA 国际米兰中文官网において、脆弱性の問題が確認されております。この脆弱性により DoS 攻撃を受ける可能性が指摘されています。
RSA国际米兰中文官网は 1024 ビットや 2048 ビットといった大きな整数の Modulus n と、3 〜 65537 程度の小さな整数の Exponent e から構成されます。Exponent e は RSA 国际米兰中文官网による計算処理を効率化するため通常は 3 〜 65537 といった小さい整数が利用されますが、Modulus n と同程度の大きな整数が使用された場合や、Modulus n のビット数が非常に大きい場合、この国际米兰中文官网を利用した計算処理に長大な時間がかかる状況となるため、DoS 攻撃が可能とされています。

・参考情報

○当社製品に対する国际米兰中文官网

当社製品では、国际米兰中文官网利用している場合に影響を受ける可能性があります。
具体的には、以下の機能で 国际米兰中文官网利用する場合があります。

  • IPsec の PKI 機能
  • SSH 機能

当社製品に対する国际米兰中文官网は以下の通りです。

×:国际米兰中文官网あり
−:当該機能をサポートしているが国际米兰中文官网なし
=:当該機能をサポートしていないため国际米兰中文官网なし
製品名 IPsec の PKI 機能 SSH 機能
FITELnet-F80/F100/F120/F1000 ×
FITELnet-F40 × *1
MUCHO-EV/PK ×
FITELnet-F3000 ×
*1:PKI オプションを適用している場合のみ

IPsec の PKI 機能については、PKI を利用している場合にのみ国际米兰中文官网る可能性があります。具体的には、以下の場合に国际米兰中文官网ます。

  • 信頼する CA 局の証明書に記載された RSA 国际米兰中文官网が本件脆弱性情報で指摘される不正な鍵であり、その CA 局によって証明されたピアの証明書が対向装置から通知された場合
  • 信頼する CA 局により証明された対向装置の RSA 国际米兰中文官网が、本件脆弱性情報で指摘される不正な鍵であった場合

PKI 機能を利用しない場合には影響を受けません。また、対向装置の不正な RSA 国际米兰中文官网が信頼する CA 局によって証明されていない場合にも影響を受けません。

影響の程度は不正な RSA 国际米兰中文官网のビット数に依存し、例えば Modulus n が 8192 ビットで Exponent e が 8191 ビットの場合には、タイムアウトによりセッション確立に失敗したり、KeepAlive 失敗によりセッション切断となるような、DoS 攻撃となる影響を受ける可能性があります。

以上のように、本脆弱性により DoS 攻撃を受ける可能性はあるものの、CA 局が正しく運用されている限り国际米兰中文官网ることはないため、IPsec の PKI 機能において本件脆弱性の国际米兰中文官网る可能性は限定的と考えられます。


SSH 機能については、ホスト認証を行う場合と、国际米兰中文官网認証によるユーザ認証を行う場合に影響を受ける可能性があります。

ホスト認証は SSH 接続相手のホストが正しいホストかどうかを確認する機能で、接続相手から 国际米兰中文官网受け取り、これを検証することで正しい接続相手かどうかを確認することができます。接続相手から不正な 国际米兰中文官网受け取った場合には確認に時間がかかる影響を受けます。

公開鍵認証によるユーザ認証は SSHv2 プロトコルでサポートされる機能で、SSHv2 サーバは接続相手の RSA 公開鍵証明書を受け取り証明書の検証を行うことで、正しいユーザからの接続であるかどうかを確認します。証明書に不正な RSA 公開鍵が記載されている場合と、証明書を発行した CA 局が不正な 国际米兰中文官网もっている場合に、検証に時間がかかる影響を受けます。

当社製品では、SSH サーバ機能ではホスト認証も公開鍵認証によるユーザ認証も行わないため、SSH サーバ機能のみを実装した装置では影響を受けません。SSH クライアント機能ではホスト認証に対応しており、SSH サーバから不正な RSA 公開鍵が通知された場合に、当該 SSH クライアントのみが影響を受けます。ただし、影響を受けるのは不正な 国际米兰中文官网通知された SSH クライアントのみとなり、一時的に CPU 使用率が上昇することと、不正な 国际米兰中文官网通知する SSH サーバへの接続に時間がかかるという影響を受けるのみであるため、本脆弱性による影響は限定的と考えられます。


○回避方法

IPsec の PKI 機能においては、以下の方法により回避することが可能です。

  • PKI 機能を利用しない
  • 正しい 国际米兰中文官网持った信頼できる CA 局のみを利用し、この CA 局においては不正な 国际米兰中文官网証明しない

SSH 機能においては、以下の方法により回避することが可能です。

  • SSH クライアント機能を利用しない
  • SSH クライアント機能を利用する場合には、信頼できる SSH サーバに対してのみ接続する

○対策ファームウェア

国际米兰中文官网る製品について、本脆弱性に対応したファームウェアを現在準備中です。
提供可能となりました製品につきましては、本ホームページにて随時お知らせいたします。

・FITELnet-F100 :V02.07(00)のファームウェアにて対策しました(2006/12/4)
・FITELnet-F1000 :V02.07(00)のファームウェアにて対策しました(2006/12/4)
・FITELnet-F80 :V01.01(02)のファームウェアにて対策しました(2007/1/15)
・FITELnet-F120 :德赢ac米兰vwinウェア版数:V02にて対策しました(2007/3/5)


このページに関するお問い合わせは まで
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006