公開日:2005/05/09 最終更新日:2006/03/08

NISCC-004033
IPSec通信の設定に存在する脆弱性

概要


IPSec 通信の際に、機密性 (Confidentiality) 保護のみで、完全性 (Integrity) 保護を設定していない時に発生する脆弱性が発見されました。ESP の使用している鍵 (AES、DES、Triple-DES) のバージョン・鍵サイズに関わらず発生します。遠隔の第三者は IPSec 通信の内容を得ることができます。

影響を受けるシステム

詳細情報

想定される影響


遠隔の第三者が IPSec で保護された通信内容を取得する可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
松下電器産業 該当製品なし:調査中 2005/10/03
アライドテレシス株式会社 該当製品あり 2005/05/10
富士通 該当製品あり 2006/03/07 富士通 の告知ページ
古河電気工業 該当製品あり 2005/05/13
日立 該当製品あり 2005/12/29 日立 の告知ページ
インターネットイニシアティブ 該当製品あり 2005/08/22
三菱電機 該当製品なし:調査中 2005/05/09
日本電気 該当製品あり:調査中 2005/12/27
リコー 該当製品なし 2005/05/27
ヤマハ 該当製品あり 2005/05/12

参考情報

  1. US-CERT Vulnerability Note VU#302220
    IPsec configurations may be vulnerable to information disclosure
  2. @police
    IPsecに関する脆弱性について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT/CC
JPCERT-WR-2005-1901
CERT Advisory
NISCC Advisory NISCC Vulnerability Advisory 004033/IPSEC
Vulnerability Issues with IPsec Configurations
TRnotes
CVE 2005-0039

更新履歴

2005/05/10
ベンダ情報: アライドテレシス株式会社の情報を更新しました。
2005/05/10
参考情報: CERT/CCの情報を追加しました。
2005/05/10
ベンダ情報: 富士通株式会社の情報を更新しました。
2005/05/11
概要:Integrity の日本語訳を「完全性」に修正しました。
2005/05/12
ベンダ情報:日立の情報を追加しました。
2005/05/12
ベンダ情報:ヤマハの情報を追加しました。
2005/05/13
ベンダ情報:古河電気工業株式会社の情報を追加しました。
2005/05/13
ベンダ情報:日立の提供情報を更新しました。
2005/05/27
参考情報: @police の情報を追加しました。
2005/05/27
ベンダ情報:リコーの提供情報を追加しました。
2005/06/07
ベンダ情報:富士通株式会社の情報を更新しました。
2005/06/20
ベンダ情報:日立の情報を更新しました。
2005/08/22
ベンダ情報:インターネットイニシアティブの情報を追加しました。
2005/09/03
ベンダ情報:松下電器株式会社の情報を追加しました。
2005/10/04
ベンダ情報:富士通の情報を更新しました。
2005/12/06
ベンダ情報:日本電気の情報を更新しました。
2005/12/28
ベンダ情報:日本電気の情報を更新しました。
2005/12/29
ベンダ情報:日立の情報を更新しました。
2006/03/08
ベンダ情報:富士通の情報を更新しました。