Tru64セキュリティ報告

HP SECURITY BULLETIN

HPSBTU01077     REVISION: 1

SSRT4696 改訂1 HP Tru64 UNIX TCPスタック リモートサービス拒否(DoS)

注意:	本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
	以下のセキュリティ報告情報に従って、できるだけ速やかに処置してください。

初期リリース: 2005年2月16日

潜在的セキュリティ被害: リモートサービス拒否(DoS)

発信元: HEWLETT-PACKARD COMPANY
         HP Software Security Response Team

リファレンス: NISCC Advisory 236929, CVE CAN-2004-0230

脆弱性サマリ:
HP Tru64 UNIX上のTransmission Control Protocol (TCP)において2つの潜在的な
脆弱性がみつかりました。これらの脆弱性はリモートで展開可能で、サービス拒否
(DoS)を招きます。

サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。
以下のHP Tru64 UNIXサポートバージョンが影響を受けます。
        V5.1B-2/PK4
        V5.1B-1/PK3
        V5.1A PK6
        V4.0G PK4
        V4.0F PK8

背景:
本報告のPGP符号付きバージョンをリクエストするには、
件名を「PGP_Signed_Bulletin_Request_for_HPSBTU01077_Rev.1」とし、
security-alert@hp.comまでお問い合わせください。

特別指示:
2004年4月に、HPはこれらの潜在的なTCP脆弱性に関する最初の推奨策を提供しました。
本HPセキュリティ報告に記載のカーネル調整変数はこの問題に対処する追加オプション
としてご提供します。

対象者：ファイアウォール構成の外で持続的なTCP接続に依存のシステムをお持ちの
        お客様

業界標準のTCP仕様(RFC793)には、確立されたTCP接続がTCP RST（リセット）または
SYN（同期）フラグを使用する攻撃者により、リセットされる可能性のある脆弱性が
あります。

これらのパケットは同じ接続元・接続先のTCPポートと同様に、確立済みの接続と合致
する接続元・接続先のIPアドレスを持つ必要があります。

TCPセッションは適当なRSTおよびSYNパケットを送信することでリセット可能であると
いう事実は、TCPの設計特徴の1つです。RFC 793によると、RSTまたはSYN攻撃は接続元の
IPアドレスとTCPポートが偽造できる際に可能となります。その場合、Telnet、SSH、
SFTP、HTTPを含むTCPセッションは警告なしに切断されることがあります。切断された
TCPセッションは再確立可能です。

通常、既存の接続と合致するIPアドレス、ポート番号、シーケンス番号を使用した
サーバに到達するTCP SYNパケット（新規接続の要求）は、TCP RSTパケットがクライ
アントに返される原因になります。
攻撃者はポートとIPアドレスに沿って正しいシーケンス番号を推測でき、TCP RSTに
よる既存接続の終了を引き起こします。

クライアントがサーバとの旧接続を閉じずにリブートされると、旧接続タプルと
シーケンス番号に合致するサーバへの後続接続は、旧接続を消すためにTCP RSTを
必要とします。

HPは、この2つの新しいカーネル調整変数、tcp_rst_win（TCP RSTウインドウ）と
tcp_syn_win（TCP SYNウインドウ）を提供することによって、TCP RST攻撃とTCP SYN
攻撃と呼ばれるこれらの脆弱性に取り組んでいます。

tcp_rst_winとtcp_syn_win変数は、TCP RST/SYNパケットがHP Tru64 UNIXシステムに
よって受け入れられるウィンドウサイズを縮小することによって、TCPリセット攻撃
を軽減します。

新しいカーネル調整値を以下のように設定します:

a)  tcp_rst_win 

      tcp_rst_win = -1 (デフォルト)

          SYNパケットに関する既存のTCP動作は保持します。

      tcp_rst_win = 2048

          共通TCPクライアント/サーバ シーケンス番号変動を可能にしながら、
          TCPリセットウィンドウのサイズを大幅に下げる保護レベルを提供します。
          これにより、リモートマシンが計2048バイトまで突出したパケットを認識
          しないとき、リセットパケットはTru64システムにより受け入れ可能になり
          ます。

      tcp_rst_win = 0

          潜在的なDoS状態に対して最大のセキュリティを提供します。
          tcp_rst_winを"0"に設定することで、IPSec環境に移行せずに最高レベルの
          保護を提供します。この設定はリセットパケットを現在シーケンス番号に
          制限し、送信されたデータパケットが認識されないところでは有効なリセ
          ットパケットの拒否が生じる可能性があります。

b)  tcp_syn_win

   警告：tcp_syn_winを2048以下に設定することで、リブートされたクライアントが以前
   のサーバに再接続できない可能性が増します。この理由により、tcp_syn_winを-1の
   デフォルト値以外に設定することは推奨しません。クライアント接続のタイムアウト
   は発生する可能性がありますが、後ほど試すと通常とおり動作します。

      tcp_syn_win = -1 (デフォルト)

          SYNパケットに関する既存のTCP動作は保持します。

      tcp_syn_win =2048

          共通TCPクライアント/サーバ シーケンス番号変動を可能にしながら、
          TCP同期ウィンドウのサイズを大幅に下げる保護レベルを提供します。
          これにより、リモートマシンが計2048バイトまで突出したパケットを認識
          しないとき、SYNパケットはTru64システムにより受け入れ可能になります。

      tcp_syn_win =0

          この設定は、アクティブなSYN攻撃が見受けられない限り使用すべきでは
          ありません。クライアントがサーバへ新規接続を行うとき、IPアドレスと
          時にポート番号は同じであり、シーケンス番号は旧接続の既存の(旧)シー
          ケンス番号内に入ることが時々あります。TCP RESETパケットは、サーバ
          から旧接続を消し、クライアントが新規接続を確立できるようにします。
          tcp_syn_win = 0の設定により、有効なSYNが確立済み接続のリセット時に失
          敗します。これはリブートされたクライアントが以前のソケット接続を再確
          立するため初期実行中に接続できないことを見れば明らかです。


このセキュリティ侵害に特に関心のあるお客様は、HP Tru64 UNIX 5.1Aおよび
5.1Bで利用可能なIPSecを導入してください。Tru64 UNIX V4.0FおよびV4.0Gは
tcp_rst_winを"0"、tcp_syn_winを"0"に設定した状態で可能な限り最大の保護を
受けられます。

新しいカーネル調整変数を導入するために、お客様はこのEAの解決策セクション
にある適切なERPを最初にインストールしなければなりません。
ERPインストールの後で、以下のように調整変数を調節できます。

TCP RSTウィンドウ変数(tcp_rst_win)は、"sysconfig"および"sysconfigdb"コマンド
を使って調整できます:

# sysconfig -q inet tcp_rst_win
inet:
      tcp_rst_win = -1

# sysconfig -r inet tcp_rst_win=2048

tcp_rst_win: reconfigured

# sysconfig -q inet tcp_rst_win
inet:
      tcp_rst_win = 2048

# sysconfig -q inet tcp_rst_win > /tmp/tcp_rst_win_merge

# sysconfigdb -m -f /tmp/tcp_rst_win_merge inet

# sysconfigdb -l inet
inet:
      tcp_rst_win = 2048

同様に、TCP SYNウインドウ変数（tcp_syn_win）は、"sysconfig"と
"sysconfigdb"コマンドを使って調整できます:

# sysconfig -q inet tcp_syn_win
inet:
      tcp_syn_win = -1

# sysconfig -r inet tcp_syn_win=2048

tcp_syn_win: reconfigured

# sysconfig -q inet tcp_syn_win
inet:
      tcp_syn_win = 2048

# sysconfig -q inet tcp_syn_win > /tmp/tcp_syn_win_merge

# sysconfigdb -m -f /tmp/tcp_syn_win_merge inet

# sysconfigdb -l inet
inet:
      tcp_syn_win = 2048 


解決策:
これらのTCPパッチがメインストリームリリース パッチキットにて提供されるまで、
HPは以下のEarly Release Patch (ERP)キットをお客様向けに一般にリリースしています。

ERPキットはdupatchを使ってインストールし、ERPとファイル共有のあるインストール
済みのCustomer Specific Patches (CSPs)には上書きインストールしません。
ERPのインストールがインストール済みのCSPsにより妨げられる場合は、サービス
プロバイダへお問い合わせください。

ERPキットに含まれる修正は、以下のメインストリームパッチキットにて
提供される予定です:

V5.1B-3/PK5

ERPキットは、新しい"inet.mod"モジュールでtcp_rst_winとtcp_syn_win
調整変数を作成し、導入します。

HP Tru64 UNIX 5.1B-2/PK4
ERP Kit Name:        T64KIT0024531-V51BB25-ES-20041219
Kit Location:
http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0024531-V51BB25-ES-20041219

HP Tru64 UNIX 5.1B-1/PK3
ERP Kit Name:        T64KIT0024744-V51BB24-ES-20050125
Kit Location:
http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0024744-V51BB24-ES-20050125

HP Tru64 UNIX 5.1A PK6 
ERP Kit Name:       T64KIT0024743-V51AB24-ES-20050125
Kit Location:
http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0024743-V51AB24-ES-20050125

HP Tru64 UNIX 4.0G PK4 
ERP Kit Name:        T64KIT0024774-V40GB22-ES-20050129
Kit Location:
http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0024774-V40GB22-ES-20050129

HP Tru64 UNIX 4.0F PK8 
ERP Kit Name:        DUXKIT0024773-V40FB22-ES-20050129
Kit Location:
http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=DUXKIT0024773-V40FB22-ES-20050129

General ITRC Patch Page:  http://www.itrc.hp.com/service/patch/mainPage.do

報告リビジョン履歴:
改訂0 - 2004年12月22日
  - 初期リリース

改訂1 - 2005年2月15日
  - ERPキットとメインストリームパッチのリリーススケジュール情報の訂正


* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault

サポート:
さらなる情報については、HPサービスサポートチャネルへお問い合わせください。

購読: HP Security BulletinsをEmailにて定期受信を開始するには、以下へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA&
langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC

Driver and Support Alerts/Notifications Sign-up: Product Selectionページ上の
Step 1:  your productsで、以下のように登録します。
1. product categoryを選択:
   - 少なくとも"servers"を選択する必要があります。
2. product familyを選択または検索:
   - 少なくとも1つの製品を選択する必要があります。
3. 製品を追加:
   - 少なくとも1つの製品を追加する必要があります。
Step 2:  your operating system(s)で、
   - アラートを必要とするオペレテーィングシステムすべてをチェックします。
フォームを完成させ"Save"をクリックします。

既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php

Subscriber's choice for Business:  sign-inページでログインします。
Subscriber's Choice:  your profile summaryページのEdit Profileから
該当するセクションを更新します。

注意:
選択したオペレーティングシステム/製品用の個々のalerts/notifications
に加え、自動的に非オペレーティングシステムカテゴリ用のalertsの1コピー
を受信します。(6つの全オペレーティングシステムalertsにサインアップした
方は非オペレーティングシステムalertsの1コピーのみを受け取ります。)

HP-UX SPECIFIC SECURITY BULLETINS*:
以前発行されたSecurity Bulletins for HP-UXは以下で参照できます。
http://itrc.hp.com/cki/bin/doc.pl/screen=ckiSecurityBulletin

HP-UX Security Patch Matrixは以下で参照できます。
http://itrc.hp.com/service/cki/docDisplay.do?docId=hpuxSecurityMatrix

または、anonymous ftpでもご覧いただけます。
ftp://ftp.itrc.hp.com/export/patches/hp-ux_patch_matrix/

HP-UX Security Patch Matrixは毎日更新され、プラットフォーム/OSリリース
ごと、そしてBulletinトピックごとにセキュリティパッチを分類します。
Security Patch Checkツールは、HP-UX 11.XXバージョン用Security Patch Matrix
のレビュープロセスを完全に自動化します。注意: HP-UX Security Patch Matrixに
リストされているパッチのインストールは、Security Bulletin内の"手作業"フィー
ルドが"なし"の場合のみ、解決策を完全にインプリします。

Security Patch Checkツールはまた、Security Bulletinの解決策がHP-UX 11.XX
バージョン上でインプリされているかも検証します("手作業"フィールドが"なし"
の場合)。Security Patch Checkツールは製品アップグレード経由でインストール
したパッチの検証は行いません。

Security Patch Checkツールの詳細は、次のWebサイトをご覧ください。
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B6834AA

レポート:
HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、
security-alert@hp.comへemailをお送りください。

システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。

「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」

 ------------------------------------------------------------------

(c) Copyright 2005 Hewlett-Packard Company
Hewlett-Packard Companyは、ここに含まれている技術上または編集上のエ
ラー、もしくは省略などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。