Express5800/FirewallServer

SNMP脆弱性問題(CA-2002-03)について

セキュリティホールの内容について
SNMPの脆弱性についてCERT Advisoryが発行されています。SNMPを使用している機器で、 DoS攻撃を受けたり、バッファオーバーフローにより管理権限が盗まれる危険性が あるということです。詳細につきましては、CERT Advisory 本文をご確認ください。

http://www.cert.org/advisories/CA-2002-03.html

FirewallServerの場合、ファイアウォールソフトウェアである、FireWall-1には、 本セキュリティホールは存在しません。ただし、ESMPROとの連携のため、 snmpd を起動しており、このデーモンが、本セキュリティホールを抱えています。 このため下記の対策の実施が必要です。

なお、FirewallServerのファイアウォール機能で、SNMPパケットを受け取らないように している場合は、本セキュリティホールを突く攻撃は防御でき、事実上、問題には なりません。

ESMPROとの連携のため、SNMPパケットを受けるポリシー設定にしたとしても、 発信元のホストをESMPROマネージャーなどに限定することにより、 対策未実施でも、ある程度のセキュリティは確保できます。



対策
本件に対する対策として、OSベンダからパッチが発行されています。 また、ESMPRO担当グループから、対応するESMPRO/SAのパッチが発行されています。 これらのパッチの適用を実施してください。

なお、本パッチはN8100-735向けのものになります。 それ以前のN8500-622/623/634/635については、 OSをN8100-735相当のものにバージョンアップすることが前提となります。 保守契約ユーザに対しては、新OS媒体のリリースをおこなっています。 詳しくは、 旧型番機に対する新OSリリース をご参照ください。

FireWall-1のSP4以降適用のため、すでにOSバージョンアップをしている場合は、 N8100-735と同じ状態になっているので、 そのまま下記のパッチ適用を実施してください。

パッチの入手

以下のファイルを用意(ダウンロード)してください。 入手したパッチをFirewallServerの /tmp においてください。

OS関連パッチ

ftp://updates.redhat.com/6.2/en/os/i386/db3-3.1.17-4.6x.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/rpm-4.0.2-6x.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/openssl-0.9.5a-7.6.x.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/ucd-snmp-4.2.3-1.6.x.3.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/ucd-snmp-utils-4.2.3-1.6.x.3.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/ucd-snmp-devel-4.2.3-1.6.x.3.i386.rpm

ESMPROパッチ

http://www.express.nec.co.jp/dload/Security/010086.html

適用手順

以下の手順でパッチを適用します。 全て root ユーザで実行してください。 また、上記パッチファイルが /tmp に置かれていることを前提としています。 
   1. snmpd を停止
        # /etc/rc.d/init.d/snmpd stop

   2. snmpd の設定ファイルをバックアップ
        # cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.bak

   3. OS関連のパッチをインストール
     3.1 rpmをバージョンアップし、データベースを再構築する
        # rpm -Uvh /tmp/db3-3.1.17-4.6x.i386.rpm
        # rpm -Uvh /tmp/rpm-4.0.2-6x.i386.rpm
        # rpm --rebuilddb

     3.2 その他の依存パッケージをインストール
        # rpm -Uvh /tmp/openssl-0.9.5a-7.6.x.i386.rpm

     3.3 snmpをバージョンアップする
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-4.2.3-1.6.x.3.i386.rpm
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-devel-4.2.3-1.6.x.3.i386.rpm
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-utils-4.2.3-1.6.x.3.i386.rpm

   4. ESMPRO/SA のパッチを適用
      以下のリリースノートの 3-3、3-4 を実行してください。
        http://www.express.nec.co.jp/dload/Security/release.txt

   5. 再起動をする
        # shutdown -r now



セキュリティホール回避策
パッチを適用できない場合、 以下の方法でセキュリティホールを突く攻撃を回避するようにしてください。

  1. FirewallServer自身へのSNMPパケットをすべてドロップするような ポリシー設定にする。

  2. ESMPROとの連携などのため、上記1.が実施できない場合は、 ESMPROマネージャーなど、必要最小限のホストからのみ、 SNMPパケットを受信するポリシー設定にしてください。
    当該ホストからの攻撃は避けられませんが、他のホストからの攻撃に対しては、 防御できます。



旧型番機に対する新OSリリース

FireWall-1 V4.1 サービスパック4 以降のサービスパック、HotFix は、 旧型番(N8500-622/623/634/635)のFirewallServerの出荷時OSでは 対応バージョンの関係で適用できません。 保守契約ユーザには、FirewallServer OSのバージョンアップ媒体をリリースいたしますので、 OSのバージョンアップを実施願います。

以下のリリース条件を満たすユーザで、新OSの入手を希望されるユーザは、 弊社営業担当まで媒体入手の申し込みをしていただきましようお願いいたします。

リリース条件

N8500-622/623/634/635のユーザで、次のいずれかの条件を満たすこと。
  1. 新日鉄ソリューションズとFireWall-1の保守契約を締結している。
  2. FirewallServerソフトウェアサポートサービスを購入している。 (NECと保守契約を締結している)
- 以上 -