Tru64セキュリティ報告

HP SECURITY BULLETIN

HPSBTU01210     REVISION: 1

SSRT4743, SSRT4884 改訂1 HP Tru64 UNIX TCP/IP リモートサービス拒否(DoS)


注意:	本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
	以下のセキュリティ報告情報に従って、できるだけ速やかに対処してください。

初期リリース: 2005年10月4日

潜在的セキュリティ被害: リモートサービス拒否(DoS)

発信元: HEWLETT-PACKARD COMPANY
         HP Software Security Response Team

脆弱性サマリ:

いくつかの潜在的セキュリティ脆弱性が、ICMPとInitial Sequence Number生成
（ISN）を含むHP Tru64 UNIX TCP/IPで確認されました。
これらの脆弱性は、TCP接続、TCP接続のリセットまたはTCPなりすましによる
ネットワーク処理量の縮小、リモートサービス拒否(DoS)が引き起こされる
可能性があります。

リファレンス:

CERT CA-2001-09, NISCC Vulnerability Advisory VU#498440 VU#532967,
CAN-2004-0790 CAN-2004-0791 CAN-2004-1060 CAN-2001-0328

サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。

HP Tru64 UNIX 5.1B-3
HP Tru64 UNIX 5.1B-2/PK4
HP Tru64 UNIX 5.1A PK
HP Tru64 UNIX 4.0G PK4
HP Tru64 UNIX 4.0F PK8

背景:

本報告のPGP署名入りバージョンをリクエストするには、security-alert@hp.comまで
お問い合わせください。

お客様への特別な指示

インターネットコントロールメッセージプロトコル（ICMP）（RFC 792）は、
インターネットアーキテクチャーから誤り-隔離と回復（RFC816）の実行として
使用されます。それはホストとルータがネットワーク障害が起こったかどうかを
明らかにするアクションのグループです。

業界標準のTCP仕様（RFC 793）は、ICMPパケットがいろいろな攻撃
（例えばブラインド接続リセット攻撃やブラインドスループット縮小攻撃など）
を実行されることにより脆弱性を引き起こします。
ブラインド接続リセット攻撃は、攻撃者がICMPの"Destination Unreachable,
host unreachable" パケットまたはICMPの"Destination Unreachable,
port unreachable"パケットの不正使用がトリガーとなります。
ブラインドスループット縮小攻撃は、攻撃者がICMPタイプに4（Source Quench）
パケットの不正使用が原因となります。

MTUディスカバリーパス（RFC 1191）は、任意のインターネットパスのMTU
（最大伝送ユニット）をダイナミックに発見する技術を記述します。
このプロトコルは、TCP接続パスのMTU発見のため、ルータからICMPパケットを
使用します。攻撃者はICMPパケット（またはIPv6に対応する物）が認知できる
ホストに送信することによってTCP接続のスループットを減らすことができ、
それは誤ったパスMTUセッティングの不正使用が原因となります。

HPは、Tru64 UNIX V5.1Bと5.1A（icmp_tcpseqcheck）で調整できる新しい
カーネルパラメーターを提供することにより、これらの潜在的脆弱性の解決に
取り組みました。
Tru64 4.0Fと4.0G では、HPは2つの新しく調整可能カーネルパラメータ、
icmp_tcpseqcheckとicmp_rejectcodemaskを導入しました。
調整可能なicmp_rejectcodemaskは、Tru64 UNIX V5.1Bと5.1Aですでに利用可能です。

icmp_tcpseqcheck

icmp_tcpseqcheck値は、ICMPエラーメッセージのペイロードに含まれるTCP
シーケンス番号がすでに送られるが、まだ認知されていないデータ範囲の中で
あることを確認することによって、TCPへのICMP攻撃を軽減します。
このチェックにパスしないICMPエラーメッセージは、放棄されます。
この動作は、TCPを不正使用されたICMPパケットから保護します。

調整は次の通りに設定してください。

icmp_tcpseqcheck=1 (デフォルト)

成り済ましのICMPパケットから防ぐためのレベルを設定します。

icmp_tcpseqcheck=0

既存の動作を保持します。例えば、全てのICMPパケットを受け入れます。

icmp_rejectcodemask

IP Version 4 ルーター（RFC 1812）の要求では、研究はICMP Source Quench
パケットの使用が過度の負担に対する無効な（そして、不公平な）特効薬で
あることを示唆します。
このように、HPは完全に、icmp_rejectcodemask調整を行っている
ICMP Source Quenchパケットを無視することを推奨します。
icmp_rejectcodemaskは、システムが拒絶するべきICMPコードを示すbitmaskです。
たとえば、ICMP Source Quenchパケットを拒絶するために、マスクビット位置を
4の累乗= 16（0x10 16進法）への2であるICMP_SOURCEQUENCHコード4に設定
してください。
icmp_rejectcodemask調整がどんなICMPパケットタイプでも拒絶するのに用いる
ことが可能です、あるいは、複数のマスクは複数のタイプを拒絶するために
一体化して組み合わせることも可能です。

注意: ICMP タイプコードは "/usr/include/netinet/ip_icmp.h" と定めています。

調整は次の通りに設定してください。

icmp_rejectcodemask = 0x10

ICMP Source Quenchパケットは拒否

icmp_rejectcodemask = 0 (デフォルト)

既存の動作を保持します。例えば、全てのICMPパケットを受け入れます。

値の調節

ICMPシーケンスチェック値（icmp_tcpseqcheck）は、sysconfigとsysconfigdb
コマンドを使用して調節可能です。

# sysconfig -q inet icmp_tcpseqcheck
inet:
icmp_tcpseqcheck = 1
# sysconfig -r inet icmp_tcpseqcheck=0
icmp_tcpseqcheck: reconfigured
# sysconfig -q inet icmp_tcpseqcheck
inet:
icmp_tcpseqcheck = 0
# sysconfig -q inet icmp_tcpseqcheck > /tmp/icmp_tcpseqcheck_merge
# sysconfigdb -m -f /tmp/icmp_tcpseqcheck_merge inet
# sysconfigdb -l inet

inet:
      icmp_tcpseqcheck = 1

同様に、icmp_rejectcodemask値は、sysconfigとsysconfigdbコマンドを使用して
調節可能です。

# sysconfig -q inet icmp_rejectcodemask
inet:
icmp_rejectcodemask = 0
# sysconfig -r inet icmp_rejectcodemask=0x10
icmp_rejectcodemask: reconfigured
# sysconfig -q inet icmp_rejectcodemask
inet:
icmp_rejectcodemask = 16
# sysconfig -q inet icmp_rejectcodemask > /tmp/icmp_rejectcodemask_merge
# sysconfigdb -m -f /tmp/icmp_rejectcodemask_merge inet
# sysconfigdb -l inet

inet:
        icmp_rejectcodemask = 16 

解決策:
訂正がメインストリームリリースパッチキットで利用できるようになるまで、
HPは以下のEarly Release Patch (ERP)キットをお客様向けに一般に
リリースしています。

ERPキットはdupatchを使ってインストールし、ERPとファイル共有のあるインストール
済みのCustomer Specific Patches (CSPs)には上書きインストールしません。
ERPのインストールがインストール済みのCSPsにより妨げられる場合は、サービス
プロバイダへお問い合わせください。

ERPキットに含まれる修正は、以下のメインストリームパッチキットにて
提供される予定です:

	HP Tru64 Unix 5.1B-4

Early Release Patches

ERPは、以下のファイルを提供します。

/sys/BINARY/inet.mod

HP Tru64 UNIX 5.1B-3
->ERP Kit Name: T64KIT0026447-V51BB26-ES-20050914
->Kit Location:http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0026447-V51BB26-ES-20050914
MD5 checksum: 168639dedac3894e6432957c178e70ba

HP Tru64 UNIX 5.1B-2/PK4
->ERP Kit Name: T64KIT0026436-V51BB25-ES-20050914  
->Kit Location:http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0026436-V51BB25-ES-20050914
MD5 checksum: ececa219e125c929d1d33bb5f2824072

HP Tru64 UNIX 5.1A PK6
->ERP Kit Name: T64KIT0026446-V51AB24-ES-20050914 
->Kit Location:http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0026446-V51AB24-ES-20050914
MD5 checksum: 75c1039c63444e530772cc2b7e25cf0a

HP Tru64 UNIX 4.0G PK4
ERP Kit Name: T64KIT0025920-V40GB22-ES-20050628  
Kit Location:http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT0025920-V40GB22-ES-20050628
MD5 checksum: 13849fd555239d75d300d1cb46dc995f

HP Tru64 UNIX 4.0F PK8
ERP Kit Name: DUXKIT0025921-V40FB22-ES-20050628
Kit Location:http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=DUXKIT0025921-V40FB22-ES-20050628
MD5 checksum: 743b614d39f185802701b7f2dd14ffa5

MD5 checksumsはITRCパッチデータベースメインページから入手可能です。
http://www.itrc.hp.com/service/patch/mainPage.do
パッチデータベースメインページからTru64 UNIXをクリック、右側の
useful linksのところにある"verifying MD5 checksums"をクリックしてください。

General ITRC Patch Page:http://www.itrc.hp.com/service/patch/mainPage

報告リビジョン履歴:

改訂0 - 2005年9月15日
初期リリース

改訂1 - 2005年10月4日
HP Tru64 Unix V5.1B-3, V5.1B-2/PK4, and V5.1A PK6用 新ERPキットのリリース

サポート: さらなる情報については、HPサービスサポートチャネルへお問い合わせください。

レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、
security-alert@hp.comへemailをお送りください。HPに送信するセキュリティ関連情報
(特に脆弱性情報)はPGPを使って暗号化されることを強く推奨します。
セキュリティ警告PGPキーを取得するには、emailの件名を「get key」にして
security-alert@hp.comへお送りください

購読: HP Security Bulletinsをemailにて定期受信を開始するには、以下へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC

webページ: ITRC security bulletins and patch sign-up
Step1: your IRTC security bulletins and patchesの下で、
   - 警告が必要とされるすべてのカテゴリをチェックし、続行します。
Step2: your IRTC operating systemsの下で、
   - オペレテーィングシステムの選択がチェックがされているかチェックし、保存します。

既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php
Subscriber's choice for Business:  sign-inページでログインします。
Subscriber's Choice:  your profile summaryページのEdit Profileから
該当するセクションを更新します。

発行済みSecurity Bulletinsを参照するには、
http://www.itrc.hp.com/service/cki/secBullArchive.doへアクセスしてください。

* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault

システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。

「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」

 ------------------------------------------------------------------

(c) Copyright 2005 Hewlett-Packard Development Company, L.P. 
Hewlett-Packard Companyは、ここに含まれている技術上または編集上の
誤り、もしくは欠落などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。