AIX5.1, 5.2, 5.3におけるTCP/IPの脆弱性

2005年5月17日（2005年5月17日更新）

US-CERTで報告されている、ICMPエラー・メッセージに対するTCP/IPの脆弱性（VU#222750）、TCPの脆弱性（VU#415294）およびIPに対する既知の脆弱性に対して、IBMからAIXのための修正プログラムが提供されます。

現象


ICMP脆弱性：	TCPコミュニケーションを変更させたり、IPプロトコルを利用してするサーバー間の通信量を減少させたりすることができます。

TCP脆弱性：	TCPコミュニケーションを計画外停止をさせたり、TCPストリームにデータを任意に入れたりすることができます。

IP脆弱性：	パフォーマンスを低下し続けて、サービスダウンまで招くことができます。

対象製品

AIX5.1、AIX5.2、AIX5.3

確認方法

noコマンドの実行結果は以下のコマンドで確認してください。

#no -a

APAR修正プログラムが導入されているかは以下のコマンドで確認してください。

#instfix -ik ITxxxxx

xxxxxは5桁の修正プログラム番号です。

緊急修正プログラムが導入されているかは以下のコマンドで確認してください。

# emgr -l

対応方法

A．正式な修正

ICMP脆弱性の対応方法：
以下のAPAR修正プログラムを適用し、noコマンドの新しいオプションtcp_icmpsecureを以下のコマンドによって有効にします。

#no -o tcp_icmpsecure=1

APAR number for AIX 5.1.0: IY70028 (available approx. 08/03/05)
APAR number for AIX 5.2.0: IY70027 (available approx. 06/01/05)
APAR number for AIX 5.3.0: IY70026 (available approx. 05/18/05)
　
TCP脆弱性の対応方法：
以下のAPAR修正プログラムを適用し、noコマンドの新しいオプションtcp_tcpsecureを以下のコマンドによって有効にします。

#no -o tcp_tcpsecure=X

Xは１から７までの数字です。

tcp_tcpsecure	Issue addressed



0	None
1	Blind reset attack using the RST bit
2	Blind reset attack using the SYN bit
3	Both issues addressed by tcp_tcpsecure value 1 and 2
4	Blind data injection attack
5	Both issues addressed by tcp_tcpsecure value 1 and 4
6	Both issues addressed by tcp_tcpsecure value 2 and 4
7	Issues addressed by tcp_tcpsecure values 1, 2 and 4

APAR number for AIX 5.1.0: IY55950 (available)
APAR number for AIX 5.2.0: IY55949 (available)
APAR number for AIX 5.3.0: IY62006 (available)

IP脆弱性の対応方法：
以下のAPAR修正プログラムを適用し noコマンドの新しいオプションip_nfragを以下のコマンドによって有効にします。

#no -o ip_nfrag=X

Xのデフォルト値は200です。

APAR number for AIX 5.1.0: IY63365 (available)
APAR number for AIX 5.2.0: IY63364 (available)
APAR number for AIX 5.3.0: IY63363 (available)

AIX V5の修正プログラムは下記URLからダウンロードしてください。


	http://www.ibm.com/servers/eserver/support/unixservers/aixfixes.html

すでに影響があったお客様は早めにAIX5.1、AIX5.2、AIX5.3の最高メンテナンスにアップグレードしてください。

B．緊急修正

緊急修正プログラムは下記URLからダウンロードしてください。


	ftp://aix.software.ibm.com/aix/efixes/security/icmp_efix.tar.Z

icmp_efix.tar.Zに4つのefixパッケージを含まれています。それぞれ対応するメンテナンスレベルとインストール前提ファイルは下記の通りです。

ファイルネーム	メンテナンスレベル	前提ファイル



IY70028_07.040705.epkg.Z	5100-07	bos.net.tcp.client 5.1.0.66
IY70027_04.040705.epkg.Z	5200-04	bos.net.tcp.client 5.2.0.43
		bos.adt.include 5.2.0.43
IY70027_05.040705.epkg.Z	5200-05	bos.net.tcp.client 5.2.0.52
IY70026_01.040705.epkg.Z	5300-01	bos.net.tcp.client 5.3.0.10

お問合せ先

AIXセキュリティに関する問合わせは下記URLにアクセスしてください。


	https://techsupport.services.ibm.com/server/pseries.subscriptionSvcs

また、この記事に対するコメントは下記メールアドレス宛に送ってください。


	security-alert@austin.ibm.com

AIXセキュリティチームと安全にコミュニケーションをするために、PGPパブリック・キーが必要です。2つの方法があります。

1.	security-alert@austin.ibm.comにメールを送ってください。Subjectに「get key」と記述してください。

2.	PGPパブリック・キーサーバーからダウンロードしてください。キーIDは0x9391C1F2です。

参考情報

Vulnerability Note VU#222750
TCP/IP implementations do not adequately validate ICMP error messages

Vulnerability Note VU#415294
The Border Gateway Protocol relies on persistent TCP sessions without pecifying authentication requirements

上に戻る