製品・ソフトウェアに関する情報

JVN脆弱性詳細

IPv6 NDP 実装における Neighbor Discovery メッセージの送信元検証処理に関する脆弱性

タイトル	IPv6 NDP 実装における Neighbor Discovery メッセージの送信元検証処理に関する脆弱性
概要	IPv6 Neighbor Discovery Protocol (NDP) 実装には、Neighbor Discovery メッセージの送信元検証処理に不備があるため、サービス運用妨害状態 (DoS) または Forward Information Base (FIB) を改ざんした、なりすましのメッセージによりプライベートネットワークのトラフィックを読まれる脆弱性が存在します。
想定される影響	第三者により、通信を読まれる、あるいはサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年10月3日0:00
登録日	2008年11月4日12:26
最終更新日	2010年3月3日11:43

CVSS2.0 : 危険
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

ヒューレット・パッカード

HP-UX 11.11

HP-UX 11.23

HP-UX 11.31

アップル

AirMac Express

AirMac Extreme

Time Capsule

日本電気

IP8800/S,/R

富士通

IPCOMシリーズ

スイッチ SR-Sシリーズ

ルータ Si-Rシリーズ

日立

GR2000

GR2000 (b_model)

GR4000

GS3000

GS4000

アラクサラネットワークス

AX2000Rシリーズ

AX3600Sシリーズ

AX5400Sシリーズ

AX6300Sシリーズ

AX6700Sシリーズ

AX7700Rシリーズ

AX7800Rシリーズ

AX7800Sシリーズ

古河電気工業

FITELnet-Fシリーズ FITELnet-F80/F100/F120/F140/F1000/F2000/F3000

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-2476	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2476
National Vulnerability Database (NVD)
2	CVE-2008-2476	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-2476

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT3467	http://support.apple.com/kb/HT3467
Apple セキュリティアップデート
2	HT3467	http://support.apple.com/kb/HT3467?viewlocale=ja_JP
FITELnet
3	20081003	http://www.furukawa.co.jp/fitelnet/topic/vulnera_20081003.html
HP Security Bulletin
4	HPSBUX02407	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01662367
NEC製品セキュリティ情報
5	NV08-011	http://www.nec.co.jp/security-info/secinfo/nv08-011.html
SEIL シリーズセキュリティ&脆弱性情報
6	10031541	http://www.seil.jp/seilseries/security/2008/10031541.php
セキュリティ情報
7	AX-VU2008-04	http://www.alaxala.com/jp/support/security/20081003.html
富士通セキュリティ情報
8	VU#472363	http://software.fujitsu.com/jp/security/vulnerabilities/vu472363.html
株式会社日立製作所
9	IPv6ND	http://www.hitachi.co.jp/Prod/comp/network/notice/IPv6ND.html

その他

No	名前	URL
ISS X-Force Database
1	45601	http://xforce.iss.net/xforce/xfdb/45601
JVN
2	JVNVU#472363	http://jvn.jp/cert/JVNVU472363/index.html
Secunia Advisory
3	SA33787	http://secunia.com/advisories/33787/
SecurityFocus
4	31529	http://www.securityfocus.com/bid/31529
US-CERT Vulnerability Note
5	VU#472363	http://www.kb.cert.org/vuls/id/472363
VUPEN Security
6	VUPEN/ADV-2009-0312	http://www.vupen.com/english/advisories/2009/0312

変更履歴

No	変更内容	変更日
0	[2008年11月04日] 掲載 [2009年02月25日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02407) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02407) を追加 [2009年04月01日] 影響を受けるシステム：アップル (HT3467) の情報を追加ベンダ情報：アップル (HT3467) を追加 [2010年03月03日] 影響を受けるシステム：富士通 (VU#472363) の情報を追加ベンダ情報：富士通 (VU#472363) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-2476

概要	The IPv6 Neighbor Discovery Protocol (NDP) implementation in (1) FreeBSD 6.3 through 7.1, (2) OpenBSD 4.2 and 4.3, (3) NetBSD, (4) Force10 FTOS before E7.7.1.1, (5) Juniper JUNOS, and (6) Wind River VxWorks 5.x through 6.4 does not validate the origin of Neighbor Discovery messages, which allows remote attackers to cause a denial of service (loss of connectivity) or read private network traffic via a spoofed message that modifies the Forward Information Base (FIB).
公表日	2008年10月4日0:07
登録日	2021年1月29日13:37
最終更新日	2017年9月29日10:31

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:force10:ftos::::::::
cpe:2.3:o:freebsd:freebsd:6.3:::::::*
cpe:2.3:o:freebsd:freebsd:7.1:::::::*
cpe:2.3:o:juniper:jnos::::::::
cpe:2.3:o:netbsd:netbsd::::::::
cpe:2.3:o:openbsd:openbsd:4.2:::::::*
cpe:2.3:o:openbsd:openbsd:4.3:::::::*
cpe:2.3:o:windriver:vxworks:5:::::::*
cpe:2.3:o:windriver:vxworks:5.5:::::::*
cpe:2.3:o:windriver:vxworks::::::::		6.4

関連情報、対策とツール

No	URL	refsource	タグ
1	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-013.txt.asc	NETBSD
2	http://secunia.com/advisories/32112	SECUNIA	Vendor Advisory
3	http://secunia.com/advisories/32116	SECUNIA
4	http://secunia.com/advisories/32117	SECUNIA	Vendor Advisory
5	http://secunia.com/advisories/32133	SECUNIA
6	http://secunia.com/advisories/32406	SECUNIA
7	http://security.freebsd.org/advisories/FreeBSD-SA-08:10.nd6.asc	FREEBSD	Vendor Advisory
8	http://securitytracker.com/id?1020968	SECTRACK
9	http://support.apple.com/kb/HT3467	CONFIRM
10	http://www.kb.cert.org/vuls/id/472363	CERT-VN	US Government Resource
11	http://www.kb.cert.org/vuls/id/MAPG-7H2RY7	CONFIRM	US Government Resource
12	http://www.kb.cert.org/vuls/id/MAPG-7H2S68	CONFIRM	US Government Resource
13	http://www.openbsd.org/errata42.html#015_ndp	OPENBSD
14	http://www.openbsd.org/errata43.html#006_ndp	OPENBSD
15	http://www.securityfocus.com/bid/31529	BID
16	http://www.securitytracker.com/id?1021109	SECTRACK
17	http://www.securitytracker.com/id?1021132	SECTRACK
18	http://www.vupen.com/english/advisories/2008/2750	VUPEN
19	http://www.vupen.com/english/advisories/2008/2751	VUPEN
20	http://www.vupen.com/english/advisories/2008/2752	VUPEN
21	http://www.vupen.com/english/advisories/2009/0633	VUPEN
22	https://exchange.xforce.ibmcloud.com/vulnerabilities/45601	XF
23	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5670	OVAL
24	https://www.juniper.net/alerts/viewalert.jsp?actionBtn=Search&txtAlertNumber=PSN-2008-09-036&viewMode=view	MISC

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

構成1	以上	以下	より上	未満
cpe:2.3:o:force10:ftos::::::::
cpe:2.3:o:freebsd:freebsd:6.3:::::::*
cpe:2.3:o:freebsd:freebsd:7.1:::::::*
cpe:2.3:o:juniper:jnos::::::::
cpe:2.3:o:netbsd:netbsd::::::::
cpe:2.3:o:openbsd:openbsd:4.2:::::::*
cpe:2.3:o:openbsd:openbsd:4.3:::::::*
cpe:2.3:o:windriver:vxworks:5:::::::*
cpe:2.3:o:windriver:vxworks:5.5:::::::*
cpe:2.3:o:windriver:vxworks::::::::		6.4