ニュース
» 2009年10月26日 19時25分 公開

IPv6対応製品にDoSの脆弱性、IPAらが注意喚起

IPAとJPCERT/CCは、IPv6対応の複数製品にDoSの脆弱性が見つかったとして注意を呼び掛けている。

[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は10月26日、IPv6に対応した複数製品にサービス妨害(DoS)の脆弱性が見つかったとして注意を呼び掛けた。

 IPAによると、脆弱性はNeighbor Discovery for IP version 6(RFC4861)に関連するパケットの不適切な処理に起因するもの。ローカルネットワーク上から細工された大量のパケットが送信されることで、DoSが誘発されてしまう恐れがある。

 同日までに富士通と古河電気工業、東芝テックが情報を公開し、古河電気工業は一部製品で「IPv6アドレス設定メカニズム(RA受信機能)」を有効にしている場合に影響を受けることを明らかにした。同機能を無効にするか、有効にしていてもオンリンクに信頼できないノードが接続できないような運用形態であれば影響を受けないといい、解決するためのファームウェアを準備している。富士通は調査中の一部製品以外は影響を受けず、東芝テックでは該当製品はないと説明している。

 IPAとJPCERT/CCは、ユーザーに製品開発元への確認とアップデートの適用(提供されている場合)を促しているほか、回避策として以下の3つを紹介している。

  • Secure Neighbor Discovery(SEND)を利用する――RFC3972で規定されている「Cryptographically Generated Address(CGA)」を利用して、パケットの妥当性を検証する
  • 利用者端末でフィルタリングする――可能な場合には、パーソナルファイアウォールなどにより、「Router Advertisement(RA)」やND Redirectパケットを制御する
  • L2中継装置でフィルタリングする――IPv6ヘッダに基づくパケットフィルタリング機能を備えているL2中継装置(スイッチや無線LAN アクセスポイント)を利用できる場合には、中継装置でルータ以外のポートから送信されたRAやND Redirectパケットを破棄する。または利用者端末間の直接通信を制限する(端末間通信を制限することでDuplicate Address Detectionが機能しない可能性がある)

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -