英NISCCや米US-CERTなどは現地時間4月12日,複数ベンダー/製品のTCP/IPの実装に見つかったセキュリティ・ホールを公表した。細工が施されたデータを送信されると,現在確立している通信を強制的に終了させられる可能性がある。セッションを長時間維持する必要があるBGP(Border Gateway Protocol)通信などが影響を受ける。ネットワーク管理者は注意。対策は,各ベンダーが提供するパッチを適用することなど。
セキュリティ組織やベンダーなどによると,複数ベンダーのTCP/IP実装には,ICMPエラー・メッセージの処理に関するセキュリティ・ホールが確認されているという。このため,細工を施したICMPエラー・メッセージを送信されると,現在通信中のTCPコネクションを強制的に終了させられたり,通信レートを低くされたりする可能性がある。つまり,DoS(サービス妨害)攻撃を受ける恐れがある。
攻撃が“成功”しても通信を遮断されるだけで,マシン/機器が直接影響を受けることはない。例えば,任意のプログラムを実行されたり,通信を盗聴されたりする心配はない。このため,一般ユーザーが今回のセキュリティ・ホールを心配する必要はほとんどない。
問題は,ネットワーク管理者。NISCCやUS-CERTでは,BGP通信が影響を受ける可能性があるとしている(関連記事)。ルーターなどの管理者は特に注意したい。
対策は,ベンダーが提供するパッチなどを適用すること。4月13日時点で,いくつかのベンダーはアドバイザリ(情報)やパッチを公開している。例えば,米Cisco Systemsでは,米国時間4月12日付けでアドバイザリを公開している。同社製品の管理者は確認しておきたい。米Juniper Networksもアドバイザリを公開している(アドバイザリの閲覧には登録が必要)。
SolarisやAIXのTCP実装にも同様のセキュリティ・ホールが見つかっている。いずれも,パッチが用意されている(詳細については,US-CERTの情報などを参照のこと)。Windowsにも同じセキュリティ・ホールが確認されているが,4月13日に公開された「TCP/IP の脆弱性により,リモートでコードが実行され,サービス拒否が起こる (893066) (MS05-019) 」のパッチで解消できる(関連記事)。
これら以外のベンダーに関する情報やパッチ適用以外の回避策については,US-CERTの情報やNISCCの情報に詳しいので参照してほしい。US-CERTの情報では,4月13日現在,ステータスが「Unknown(セキュリティ・ホールがあるかどうか不明あるいは調査中)」のベンダーが多い。今後,適宜更新されることが予想される。国内ベンダーの状況については,JVN(JP Vendor Status Notes)の情報が参考になる。
◎参考資料
◆NISCC Vulnerability Advisory ICMP - 532967(英NISCC)
◆Vulnerability Note VU#222750 Multiple TCP/IP implementations do not adequately validate ICMP error messages(米US-CERT)
◆NISCC-532967 TCP 実装の ICMP エラーメッセージの処理に関する脆弱性(JP Vendor Status Notes)
◆Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of Service(米Cisco Systems)
◆Sun TCP Connections May Experience Performance Degradation If Certain ICMP Error Messages Are Received(米Sun Microsystems)
◆Handler's Diary April 12th 2005 ICMP Affecting TCP Sessions(米SANS Institute)
(勝村 幸博=IT Pro)