네트워크 장비 상단 헤더
토토 및 네트워크 장비 | Furukawa Electric Industries, Ltd.> DNS 취약성 문제


DNS 취약성 문제

첫 번째 판은 2005 년 6 월 15 일
2005 년 6 월 30 일 Fitelnet-F100/F1000 (VER1 시리즈)에 대한 호환성 정보 추가
2005 년 7 월 7 일 Fitelnet-F100/F1000 (VER2 시리즈)에 대한 호환성 정보 추가
2005 년 10 월 11 일 Fitelnet-F40에 대한 지원 정보 추가
2006 년 1 월 17 일 Fitelnet-E20/E30에 대한 지원 정보 추가
2006 년 5 월 19 일 Fitelnet-F120에 대한 지원 정보 추가
2007 년 2 월 15 일 NISCC Link
2008 년 5 월 14 일 NISCC에 대한 고정 링크

○ 요약

취약점은 DNS 패킷에 포함 된 오르플 링 된 압축 데이터가 제 3 자로부터 DOS 상태를 유발할 수 있음을 나타냅니다.


・ 참조 정보

○ 제품에 미치는 영향

우리 제품에 미치는 영향은 다음과 같습니다.

× : 영향
-: 기능을 지원하지만 효과가 없습니다
= :이 기능이 지원되지 않으므로 효과가 없습니다
제품 이름 proxydns 기능 Resolver 함수 *1 PKI Resolver 함수 *2
22006 년 1 월 17 일 Fitelnet-E20/E30에 대한 지원 정보 추가 × - ×
3> DNS 취약성 문제 × 3첫 번째 판은 2005 년 6 월 15 일 × *3
32005 년 7 월 7 일 Fitelnet-F100/F1000 (VER2 시리즈)에 대한 호환성 정보 추가 × 3첫 번째 판은 2005 년 6 월 15 일 3첫 번째 판은 2005 년 6 월 15 일
32007 년 2 월 15 일 NISCC Link 3첫 번째 판은 2005 년 6 월 15 일 3첫 번째 판은 2005 년 6 월 15 일 ×
기타 mucho 시리즈 3첫 번째 판은 2005 년 6 월 15 일 3첫 번째 판은 2005 년 6 월 15 일 3첫 번째 판은 2005 년 6 월 15 일
*1 : 장치 자체가 이름을 해결할 때 사용됩니다 (예 : 콘솔에서 핑이 호스트 이름으로 대상을 지정할 때).
*2 : IPSEC와 함께 인증서를 사용할 때 CRL 배포 지점이 URL에 지정 될 때 이름을 해결하는 데 사용됩니다.
*3 : PKI 함수는 선택 사항입니다.


○ 일하는 방법

이 기능을 사용하면이 취약점을 우회 할 방법이 없습니다.
함수를 끄거나 사용하지 않으려면 다음을 수행하십시오.

1. proxydns 기능

・ 22006 년 1 월 17 일 Fitelnet-E20/E30에 대한 지원 정보 추가
proxydns mode 명령을 제거하여 proxydns 기능을 해제 할 수 있습니다 (기본적으로 설정되지 않으면 꺼져 있음).

・ 3> DNS 취약성 문제
proxydns OFF (기본 설정이 켜져 있음)로 설정하여 ProxyDNS 기능을 끕니다.

・ 32005 년 7 월 7 일 Fitelnet-F100/F1000 (VER2 시리즈)에 대한 호환성 정보 추가
명령은 proxydns 기능을 끄질 수 없습니다.
proxydns 기능을 사용하지 않으면 다음과 같이 필터링 하여이 취약점을 피할 수 있습니다.
 
ipfiltering -d add dst = 192.168.1.254,255.255.255.255 dstport = 53,53 src = 0.0.0.0,0.0.0.0.0 prot = tcp/udp recvif = lan half
*Fitelnet-E20/E30의 LAN 인터페이스의 IP 주소가 192.168.1.254 인 경우.


2. PKI Resolver 기능

PKI Resolver 함수를 꺼질 수 없습니다.
1 단계 인증에 인증서를 사용하지 않으면이 기능이 사용되지 않습니다.
인증서를 사용하여 인증하더라도 CRL을 사용하여 인증서를 검증하지 않으면이 기능은 사용되지 않습니다.
CRL을 사용하여 인증서의 유효성을 확인하더라도 LDAP 서버에서 CRL을 얻을 수 있다면이 기능을 사용하지 않을 수 있습니다.
각 모델의 세부 사항은 다음과 같습니다.

・ 22006 년 1 월 17 일 Fitelnet-E20/E30에 대한 지원 정보 추가
crypto ca Identity 설정 모드가 CRL-Optional으로 설정된 경우 또는 CRL-OPTional이 설정되지 않은 경우 CRL을 사용하여 인증서가 검증됩니다.
및 Crypto CA Identity Configuration Mode에서는 Name-Server가 구성된 경우 PKI Resolver 기능을 사용하여 CRL을 인증서의 URL로 표시된 배포점으로 가져옵니다.
Query-IP가 Crypto CA Identity 구성 모드로 구성되고 LDAP 서버에서 CRL을 검색 할 수 있으면 PKI Resolver 기능이 사용되는 것을 방지하기 위해 이름 서버를 제거 할 수 있습니다.

・ 3> DNS 취약성 문제 및 32007 년 2 월 15 일 NISCC Link
vpcertparam 명령이 crl = must 또는 crl = use로 설정되면 CRL을 사용하여 인증서가 유효합니다.
및 vpcertparam 명령으로 구성된 경우 PKI Resolver 기능을 사용하여 CRL을 인증서의 URL로 표시 한 배포점으로 가져옵니다.
VPCertParam 명령으로 구성되고 LDAP 서버에서 CRL을 얻을 수있는 경우 NEASSERVER = 0.0.0.0을 설정하여 PKI Resolver 기능을 사용하지 않을 수 있습니다.

○ 카운터 펌웨어

영향을받는 제품의 경우이 취약점을 해결하는 펌웨어가 현재 준비 중입니다.
우리는 때때로이 웹 사이트에서 이용할 수있는 제품을 알려 드리겠습니다.

・ fitelnet-f100 :Furukawa 전기 네트워크 장비를 기준으로 조치를 취했습니다 (2005/06/30).
・ fitelnet-f1000 :토토 Furukawa 전기 네트워크를 기준으로 조치를 취했습니다 (2005/06/30).
・ fitelnet-f100 :젠 토토 Furukawa 전기 네트워크를 기준으로 조치를 취했습니다 (2005/07/07).
・ fitelnet-f1000 :토토 베이 Furukawa 전기를 기준으로 조치를 취했습니다 (2005/07/07).
・ 3> DNS 취약성 문제 :토토 랜드 Fitelnet-F40 회사 V03.15 릴리스 노트를 기준으로 조치를 취했습니다 (2005/10/11).
・ fitelnet-f120 :토토 놀이터 Furukawa를 기준으로 조치를 취했습니다 (2005/11/24).
・ fitelnet-e30 :토토 랜드 Fitelnet-E30 회사 V02.08 릴리스 노트를 기준으로 조치를 취했습니다 (2006/01/17).
・ fitelnet-e20 :와이즈 토토 승무패 Fitelnet-E20 회사 V01.16 릴리스 노트를 기준으로 조치를 취했습니다 (2006/01/17).



이 페이지에 관한 문의 사항여기
이 사이트 메이저 토토 사이트 | Furukawa Electric Industries, Ltd