掲載番号:NV08-008
脆弱性情報識別番号:VU#800113
概要
複数の DNS 実装にキャッシュポイズニング攻撃が容易になる脆弱性があります。
DNSキャッシュサーバに偽のDNS情報をキャッシュさせることができ、そのDNSキャッシュサーバを使っているノードが、偽のサイトに誘導される可能性があります。
対象製品
IP38Xシリーズ
- 対処方法
対象となる製品のバージョン:
- IP38X/SR100
- IP38X/3000
- IP38X/1100
- IP38X/1500
- IP38X/107e
- IP38X/58i
- IP38X/V700※
- IP38X/V01
- IP38X/1000※
- IP38X/2000※
- IP38X/105p※
- IP38X/105e※
- IP38X/300※
- IP38X/250i
- IP38X/57i※
- IP38X/55i※
- IP38X/52pro※
※販売中止
次の[対策1]もしくは[対策2]を実施してください。
[対策1]ルータのファームウェアをアップデートし、設定を変更する
注意: ファームウェアをアップデートしただけでは、ルータの動作はアップデート前と変わらないため対策になりえません。"(1)ルータのファームウェアをアップデートする" を行ったのち、引き続き "(2)設定を変更する" を行う必要があります。
2008/8/25時点でのリリース状況は以下の通りです。
IP38X/SR100(SRT100) Rev.10.00.40以降で対応
IP38X/3000(RTX3000) Rev.9.00.40以降で対応
IP38X/1100(RTX1100) Rev.8.03.77以降で対応
IP38X/1500(RTX1500) Rev.8.03.77以降で対応
IP38X/107e(RT107e) Rev.8.03.78以降で対応
IP38X/1000(RTX1000) Rev.7.01.54以降で対応、Rev.8.01.28以降で対応
IP38X/2000(RTX2000) Rev.7.01.54以降で対応
IP38X/58i(RT58i) Rev.9.01.36以降で対応
IP38X/250i(RT250i) Rev.8.02.48以降で対応
IP38X/V01(RTV01) Rev.1.00.12以降で対応
IP38X/V700(RTV700) Rev.8.00.88以降で対応
IP38X/57i(RT57i) Rev.8.00.87以降で対応
上記以外のバージョンについても準備が整い次第、順次リリースしていきます。
(2)設定を変更する
ルータの設定に始点ポート番号を変化させる範囲を設定するコマンドを追加します。また、フィルタ等でDNSの通信を扱っている場合には、ルータの始点ポート番号が53固定から、コマンドで指定した範囲に変わったことをフィルタに反映します。
例1: DNS問い合わせパケットの始点ポート番号の範囲を10000-19999とする
dns srcport 10000-19999
例2: DNS問い合わせパケットのためのフィルタを変更する
変更前
ip filter 53 pass * 上位DNSサーバ udp 53 53
変更後
ip filter 53 pass * 上位DNSサーバ udp 10000-19999 53
あるいは
ip filter 53 pass * 上位DNSサーバ udp * 53
[対策2]ルータの設定を変更し、DNSリカーシブサーバ機能を無効にする
dns serviceコマンドの引数をoff(使用しない)に設定します。同時に、DHCPおよびIPCP MSEXTでのDNSサーバの通知方法から、ルータ自身を外します。
また、PCの設定で、ルータをDNSサーバとして設定している場合には、それを別のサーバに変更します。
設定例:
dns service off
dns notice order dhcp server
dns notice order msext server
IX1000/IX2000/IX3000シリーズ
- 対処方法
対象となる製品のバージョン:
以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンが ver.6.0.29 〜 ver.8.1.15に該当。( ver.7.5の場合、ver.7.5.73以降は非該当)
- DNSキャッシュ機能を使用している。
[対策] 修正ソフトウェアへのバージョンアップ
修正ソフトウェアでは、DNS query パケットの送信元ポートをDNS queryごとにランダムにすることにより、キャッシュポイズニング攻撃が成功する確率を低減しています。
修正ソフトウェアが存在しない機種については、次項の「設定による回避」を適用してください。
修正ソフトウェアの入手については、本製品をお買い上げの販売店にご相談下さい。
[回避策] 設定による回避
悪意を持った第三者により攻撃を受ける可能性がある環境では、DNSキャッシュ機能は使用しないようにしてください。
DNSキャッシュ機能はデフォルト「無効」です。
有効にしているユーザは、以下のコマンドを投入して無効化してください。
Router(config)# no dns cache enable (※)再起動不要
参考情報
更新情報
- 2008/09/26
- IP38Xシリーズのファームウェアリリース情報を更新しました。
IX1000/IX2000/IX3000シリーズを追加しました。
- 2008/08/11
- 新規登録しました。