2016.07.01(金)

「IKEv1」「IKEv2」に、DoS攻撃の踏み台にされる脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月29日、鍵交換プロトコルである「IKEv1」および「IKEv2」にDoS攻撃の踏み台として使用される脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは8.6。現時点では、完全な対策方法は公開されていない。

「Internet Key Exchange version 1 および 2(IKEv1、IKEv2)」には、ネットワーク転送量の不十分な制限の脆弱性が存在する。この脆弱性が悪用されると、リモートの攻撃者によってIKE/IKEv2 サーバがDDoS攻撃に加担させられる可能性がある。攻撃を回避するには、研究者によるとIKEサーバのレスポンスの再送制限を行うことと、ルータやファイアウォールによるパケットフィルタリングについてホワイトペーパーで言及している。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. スマホアプリ「スシロー」にSSLサーバ証明書検証不備の脆弱性(JVN)

    スマホアプリ「スシロー」にSSLサーバ証明書検証不備の脆弱性(JVN)

  2. Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

    Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

  3. ガンホーゲームズを騙るメールに注意、本文に“流失”のミス(フィッシング対策協議会)

    ガンホーゲームズを騙るメールに注意、本文に“流失”のミス(フィッシング対策協議会)

  4. 複数の「ひかり電話ルータ」および「ひかり電話対応機器」に重大な脆弱性(JVN)

  5. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  6. トレンドマイクロ「Deep Discovery Inspector」にコード実行の脆弱性(JVN)

  7. NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

  8. 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)

  9. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  10. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×