【詳細情報】NetBSD社がIPSecの重要アップデートを発表
◆概要:
NetBSD Foundation社では、同社のKAMEベースIPSec実装で報告されているリモートで悪用される可能性のあるDoS問題に対する重要なアップデートを発表した。IPSecがカーネルで使用可能になっていない場合、或いはIPSecが使用可能であってもシステム上でESP認証が
国際
海外情報
NetBSD Foundation社では、同社のKAMEベースIPSec実装で報告されているリモートで悪用される可能性のあるDoS問題に対する重要なアップデートを発表した。IPSecがカーネルで使用可能になっていない場合、或いはIPSecが使用可能であってもシステム上でESP認証がアクティブに設定されているIPSec ESP SA(例:認証にESPを使用しているIPSecなど)がなければ、NetBSDが脆弱になることはない。しかし、ESP認証(例:確立されたIPSec接続など)を使用している既存のSAから発信された如く特別にESPパケットを作成し送信することで、攻撃者はカーネルを混乱させ、通常システムのハードリセット(パワーサイクル)を必要とするエラー状態を作り出すことが可能となる。
この問題は、2002年8月後半の時点で既に公表されており、多数のベンダー(NetBSD、FreeBSD、Mac OS X、FreeS/WAN for Linuxなど)で脆弱性が確認されている。この問題を悪用するためのさまざまな悪用プログラムが既に一般で入手可能となっており、攻撃者が若干の設定に関する知識を必要としても、NetBSDを攻撃出来るよう改ざんすることは簡単に実行可能だ。例えば、トラフィックをチェックするだけでも攻撃が可能となる。
CERTでは、この問題に対して脆弱性情報(Vulnerability Note)番号VU# 459371を割り当てている。
◆情報ソース:
・The NetBSD Foundation Inc. (NetBSD Security Advisory 2002-016) , Oct. 22, 2002
◆キーワード:
NetBSD 1.5.2 NetBSD 1.5.1
NetBSD 1.5
◆分析:
(iDEFENSE米国)一般設定のNetBSD IPSecサーバーを攻撃者がリモートでクラッシュさせることが出来るため、これは非常に深刻な問題だ。多くのVPNサーバーは、ローミングユーザーや動的IPアドレスを持つリモートサイトをサポートするよう設定されているため、IPSec認証サービスを特定のネットワークやホストに対してブロックされない結果となる。VPNサーバーは、トランザクション処理や重要データの交換などの目的でしばしば重要なサイト間のインフラストラクチャリンクを提供し、いくつかのIPSecサーバーの除外や、多くの組織内の大きなノード1つだけでも、深刻な問題が発生する危険性がある。
◆検知方法:
NetBSD 1.4.xはIPSecサポートが搭載されていないためこの脆弱性が発生しないが、NetBSD 1.5と1.5.x(全バージョン)では発生が確認されている。NetBSD 1.6ベータ版とNetBSD-currentは、2002年8月23日以前のもので当該脆弱性が確認されている。使用しているシステムが脆弱かどうかを確認するには、「uname」ユーティリティを使ってインストールされているNetBSDカーネルのバージョンとインストールされた日時をリストアップする。当該問題が修正された日時よりも古いシステムは全て基本的に問題があると見ていいだろう。
◆暫定処置:
ポート500 UDPをブロックすることで、攻撃者が問題のサービスにアクセス出来ないようにすることが可能だ。ただし、これによってローミングユーザーに対するVPN機能が使用不可能となり、攻撃者が攻撃を成功裏に実行出来る場合もある。
◆ベンダー情報:
推奨される解決策としては、リリースされたバージョンであるNetBSD 1.6にアップグレードする。このバージョンにはセキュリティ修正(及びその他数多くのセキュリティ修正)が搭載されている。NetBSD社では、多くのパッチとアップデートされたNetBSD-currentを発表している。
・NetBSD-current(CVSより提供)は2002年8月23日以降修正済み。NetBSD 1.6branch(CVSより提供)は2002年8月23日以降修正済み。1.6リリースにはデフォルトで修正を搭載。
・NetBSD 1.6リリースではこの問題を既に修正済み。1.6へのアップグレードによって問題を解決可能。
・NetBSD 1.5 branch(CVSより提供)は2002年9月5日以降修正済み。
NetBSDカーネルのリコンパイルとインストールに関する詳細は、http://www.netbsd.org/Documentation/kernel/#how_to_build_a_kernel を参照。この問題に関する詳細は、ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-016.txt.asc を参照。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【11:46 GMT、10、23、2002】
《ScanNetSecurity》