現在地 HOME > 掲示板 > IT5 > 419.html ★阿修羅♪ |
|
Tweet |
TCP プロトコルに潜在する信頼性の問題【セキュリティーホールmemo】
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/04.html#20040421_TCP
(JPCERT/CC, 2004.04.21)
NISCC Vulnerability Advisory 236929: Vulnerability Issues in TCP (uniras.gov.uk) の話。 古来から知られている TCP リセット攻撃について、従来認識されていた「(2^32)/2 (= 2,147,483,648) 個のセグメントを作成する必要があり、それほど容易ではない」よりも容易に行える方法が発見された模様。 詳細は draft-ietf-tcpm-tcpsecure-00.txt: Transmission Control Protocol security considerations (IETF) を参照。
この問題は、主に長時間に及ぶ TCP セッションに影響します。そのよ
うな TCP セッションを必要とするプロトコルの代表として、Border
Gateway Protocol (BGP) が考えられます。
BGP セッションは持続時間が長く、接続が切断された場合にはルーティ
ングテーブルの再構築などが必要であるため、可用性の面からも影響の大
きさが懸念されます。そのような問題を回避する方法として、BGP では
TCP MD5 Signature Option を適用することもご検討ください。
(中略) 併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP ア
ドレスが詐称されているパケットをフィルタリングする事が推奨されてい
ます。送信元IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様
々な攻撃で使われる基本的な手法のひとつです。自サイトから他のサイト
に対する攻撃を防ぐためにも、このようなフィルタリングを設定すること
もお勧めします。
「今週の一口メモ」の震源はこれか……。 ingress / egress filtering はぜひ実施しましょう。
同様にして TCP ストリームへのデータ挿入が考えられるが、その実現可能性は TCP 実装におけるパケットの破棄・再構成のされ方に依存する。 この欠陥を利用した TCP ストリームへのデータ挿入は実証されていないし、容易ではないと考えられている。
関連:
・Cisco:
Cisco Security Advisory: TCP Vulnerabilities in Multiple IOS-Based Cisco Products
Cisco Security Advisory: TCP Vulnerabilities in Multiple Non-IOS Cisco Products
・IIJ:
TCP プロトコルの脆弱性による SEIL シリーズへの影響について
・Check Point:
TCP RFC Alert
By upgrading to Check Point VPN-1/FireWall-1 R55 HFA-03 or newer, customers are able to protect their entire network from this vulnerability; thus providing additional time and security until other systems and software can be patched.
・NetScreen:
Juniper NetScreen Advisory 58784
・ISS:
複数ベンダにおける TCP でのサービス不能の脆弱点
・FreeBSD:
Initial import of RFC 2385 (TCP-MD5) digest support. (2004.02.15)。 MAIN と RELENG_4 には入っている。
・UNIX 一般:
UNIX IP Stack Tuning Guide v2.7 (cymru.com)
・IETF:
draft-ietf-tcpm-tcpsecure-00.txt: Transmission Control Protocol security considerations
draft-ietf-idr-bgp-vuln-00.txt: BGP Security Vulnerabilities Analysis
・US-CERT:
US-CERT Technical Cyber Security Alert TA04-111A -- Vulnerabilities in TCP
・JPCERT/CC JVN:
Vendor Status Note JVNTA04-111A: TCP にサービス運用妨害を伴う脆弱性
・SANS:
Handler's Diary April 20th 2004。貴重な情報多数。
Changelog:
2004.04.22
SANS: Handler's Diary April 20th 2004。貴重な情報多数。