ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
ホーム > 製品 > NEC製品セキュリティ情報 > セキュリティ情報 > 2008年 > NV08-008
ページ共通メニューここまで。

掲載番号:NV08-008
脆弱性情報識別番号:VU#800113

複数のDNS実装にキャッシュポイズニングの脆弱性

概要

複数の DNS 実装にキャッシュポイズニング攻撃が容易になる脆弱性があります。
DNSキャッシュサーバに偽のDNS情報をキャッシュさせることができ、そのDNSキャッシュサーバを使っているノードが、偽のサイトに誘導される可能性があります。

対象製品

IP38Xシリーズ

  • 影響の有無
    あり
  • 対処方法
    対象となる製品のバージョン:
    - IP38X/SR100
    - IP38X/3000
    - IP38X/1100
    - IP38X/1500
    - IP38X/107e
    - IP38X/58i
    - IP38X/V700※
    - IP38X/V01
    - IP38X/1000※
    - IP38X/2000※
    - IP38X/105p※
    - IP38X/105e※
    - IP38X/300※
    - IP38X/250i
    - IP38X/57i※
    - IP38X/55i※
    - IP38X/52pro※
    ※販売中止

    次の[対策1]もしくは[対策2]を実施してください。

    [対策1]ルータのファームウェアをアップデートし、設定を変更する
    注意: ファームウェアをアップデートしただけでは、ルータの動作はアップデート前と変わらないため対策になりえません。"(1)ルータのファームウェアをアップデートする" を行ったのち、引き続き "(2)設定を変更する" を行う必要があります。

    (1)ルータのファームウェアをアップデートする
    以下のURLからファームウェアを入手できます。
    http://www.rtpro.yamaha.co.jp/

    2008/8/25時点でのリリース状況は以下の通りです。
    IP38X/SR100(SRT100) Rev.10.00.40以降で対応
    IP38X/3000(RTX3000) Rev.9.00.40以降で対応
    IP38X/1100(RTX1100) Rev.8.03.77以降で対応
    IP38X/1500(RTX1500) Rev.8.03.77以降で対応
    IP38X/107e(RT107e)  Rev.8.03.78以降で対応
    IP38X/1000(RTX1000) Rev.7.01.54以降で対応、Rev.8.01.28以降で対応
    IP38X/2000(RTX2000) Rev.7.01.54以降で対応
    IP38X/58i(RT58i)    Rev.9.01.36以降で対応
    IP38X/250i(RT250i)   Rev.8.02.48以降で対応
    IP38X/V01(RTV01)   Rev.1.00.12以降で対応
    IP38X/V700(RTV700)  Rev.8.00.88以降で対応
    IP38X/57i(RT57i)    Rev.8.00.87以降で対応

    上記以外のバージョンについても準備が整い次第、順次リリースしていきます。

    (2)設定を変更する
    ルータの設定に始点ポート番号を変化させる範囲を設定するコマンドを追加します。また、フィルタ等でDNSの通信を扱っている場合には、ルータの始点ポート番号が53固定から、コマンドで指定した範囲に変わったことをフィルタに反映します。

    例1: DNS問い合わせパケットの始点ポート番号の範囲を10000-19999とする

    dns srcport 10000-19999

    例2: DNS問い合わせパケットのためのフィルタを変更する

    変更前
    ip filter 53 pass * 上位DNSサーバ udp 53 53

    変更後
    ip filter 53 pass * 上位DNSサーバ udp 10000-19999 53
    あるいは
    ip filter 53 pass * 上位DNSサーバ udp * 53

    [対策2]ルータの設定を変更し、DNSリカーシブサーバ機能を無効にする
    dns serviceコマンドの引数をoff(使用しない)に設定します。同時に、DHCPおよびIPCP MSEXTでのDNSサーバの通知方法から、ルータ自身を外します。
    また、PCの設定で、ルータをDNSサーバとして設定している場合には、それを別のサーバに変更します。

    設定例:
    dns service off
    dns notice order dhcp server
    dns notice order msext server

IX1000/IX2000/IX3000シリーズ

  • 影響の有無
    あり
  • 対処方法
    対象となる製品のバージョン:
    以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。
    - 現在使用しているソフトウェアのバージョンが ver.6.0.29 〜 ver.8.1.15に該当。( ver.7.5の場合、ver.7.5.73以降は非該当)
    - DNSキャッシュ機能を使用している。

    [対策] 修正ソフトウェアへのバージョンアップ
    修正ソフトウェアでは、DNS query パケットの送信元ポートをDNS queryごとにランダムにすることにより、キャッシュポイズニング攻撃が成功する確率を低減しています。
    修正ソフトウェアが存在しない機種については、次項の「設定による回避」を適用してください。
    修正ソフトウェアの入手については、本製品をお買い上げの販売店にご相談下さい。

    [回避策] 設定による回避
    悪意を持った第三者により攻撃を受ける可能性がある環境では、DNSキャッシュ機能は使用しないようにしてください。
    DNSキャッシュ機能はデフォルト「無効」です。
    有効にしているユーザは、以下のコマンドを投入して無効化してください。

    Router(config)# no dns cache enable (※)再起動不要

参考情報

更新情報

2008/09/26
IP38Xシリーズのファームウェアリリース情報を更新しました。
IX1000/IX2000/IX3000シリーズを追加しました。
2008/08/11
新規登録しました。
Copyright NEC Corporation. All rights reserved.