【詳細情報】ベンダー各社がIPSecの重要アップデートを発表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

【詳細情報】ベンダー各社がIPSecの重要アップデートを発表

国際 海外情報

◆概要:
 様々なIPSec実装で報告されているリモートで悪用される可能性のあるDoS問題に対する重要なアップデートが複数のベンダーから発表された。IPSecが使用可能になっていない場合、或いはIPSecが使用可能であってもシステム上でESP認証がアクティブに設定されているIPSec ESP SA(例:認証にESPを使用しているIPSecなど)がなければ、オペレーティングシステムが脆弱になることはない。

 しかし、ESP認証(例:確立されたIPSec接続など)を使用している既存のSAから来たと主張するよう特別に作成されたESPパケットを送信することで、攻撃者はカーネルパニックを発生させ、通常システムのハードリセット(パワーサイクル)を必要とするエラー状態を作り出すことが可能となる。

 この問題は、2002年8月後半の時点で既に公表されており、多数のベンダー(NetBSD、FreeBSD、Mac OS X、FreeS/WAN for Linuxなど)で脆弱性が確認されている。この問題を悪用するためのさまざまな悪用プログラムが既に一般で入手可能となっており、攻撃者が若干の設定に関する知識を必要としても、NetBSDを攻撃出来るよう改ざんすることは簡単に実行可能だ。例えば、トラフィックをチェックするだけでも攻撃が可能となる。

 CERTでは、この問題に対して脆弱性情報(Vulnerability Note)番号VU# 459371を割り当てている。


◆情報ソース:
・The NetBSD Foundation Inc. (NetBSD Security Advisory 2002-016) , Oct. 22, 2002
・The Debian Project (DSA-201-1), Dec. 02, 2002

◆分析:
 (iDEFENSE米国)一般設定のIPSecサーバーを攻撃者がリモートでクラッシュさせることが出来るため、これは非常に深刻な問題だ。多くのVPNサーバーは、ローミングユーザーや動的IPアドレスを持つリモートサイトをサポートするよう設定されているため、IPSec認証サービスを特定のネットワークやホストに対してブロックされない結果となる。VPNサーバーは、トランザクション処理や重要データの交換などの目的でしばしば重要なサイト間のインフラストラクチャリンクを提供し、いくつかのIPSecサーバーの除外や、多くの組織内の大きなノード1つだけでも、深刻な問題が発生する危険性がある。

◆検知方法:
 次の各製品とベンダーで問題が確認されている。

Debian Project社のDebian 3.0
FreeS/WANを使用しているほぼ全てのLinuxベースのIPSecシステム
 NetBSD 1.4.xはIPSecサポートが搭載されていないためこの脆弱性が発生しないが、NetBSD 1.5と1.5.x(全バージョン)では発生が確認されている。NetBSD 1.6ベータ版とNetBSD-currentは、2002年8月23日以前のもので当該脆弱性が確認されている。使用しているシステムが脆弱かどうかを確認するには、「uname」ユーティリティを使ってインストールされているNetBSDカーネルのバージョンとインストールされた日時をリストアップする。当該問題が修正された日時よりも古いシステムは全て基本的に問題があると見ていいだろう。

◆暫定処置:
 ポート500 UDPをブロックすることで、攻撃者が問題のサービスにアクセス出来ないようにすることが可能だ。ただし、これによってローミングユーザーに対するVPN機能が使用不可能となり、攻撃者が攻撃を成功裏に実行出来る場合もある。

◆ベンダー情報:
 次のようなアップデートとパッチが既に発表されている。
 Debian Project社の発表したアップデートは http://www.debian.org/security/2002/dsa-201 から入手可能。
 NetBSDに対して推奨される解決策としては、リリースされたバージョンであるNetBSD 1.6にアップグレードする。このバージョンにはセキュリティ修正(及びその他数多くのセキュリティ修正)が搭載されている。NetBSD社では、多くのパッチとアップデートされたNetBSD-currentを発表している。
 NetBSD-current(CVSより提供)は2002年8月23日以降修正済み。
 NetBSD 1.6 branch(CVSより提供)は2002年8月23日以降修正済み。1.6リリースにはデフォルトで修正を搭載。
 NetBSD 1.6リリースではこの問題を既に修正済み。1.6へのアップグレードによって問題を解決可能。
 NetBSD 1.5 branch(CVSより提供)は2002年9月5日以降修正済み。

 NetBSDカーネルのリコンパイルとインストールに関する詳細は、 http://www.netbsd.org/Documentation/kernel/ - how_to_build_a_kernelを参照。この問題に関する詳細は、 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-016.txt.asc を参照。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:14 GMT、12、04、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×