VID 0 の 802.1Q フレーム、LLC/SNAP 形式のフレームが一部セキュリティコントロールをバイパスする脆弱性
VIDが0の802.1Qフレーム(VLAN 0 priority tagging)およびLLC/SNAP形式のフレームをブリッジで転送する場合、当該フレームがブリッジフィルタ、ブリッジプロトコルベースフォワーディングで処理されません。
- 報告日
-
2022/10/06
該当状況
次の機種およびバージョンが影響を受けます。
| 機種 | バージョン |
|---|---|
| SA-W2 | 2.00 - 4.91 |
| SA-W2L | 4.00 - 4.91 |
VIDが0の802.1Qフレーム(VLAN 0 priority tagging)をUntaggedフレームとして扱わないため、ブリッジフィルタおよびブリッジプロトコルベースフォワーディングの対象とならず、該当するフレームが意図せず転送されることがあります。
LLC/SNAP形式のフレームも同様にブリッジフィルタおよびブリッジプロトコルベースフォワーディングの対象とならず、意図せず転送されることがあります。
SA-Wシリーズにおける対応
本脆弱性を修正したモジュールをリリースしました。
下記のバージョン以降のモジュールへの早急な変更を推奨します。
| 機種 | バージョン |
|---|---|
| SA-W2 | 4.93 |
| SA-W2L | 4.93 |
ブリッジフィルタが、VID 0の802.1QおよびLLC/SNAPでカプセリングされたIPv4パケットおよびIPv6パケットを処理するように変更しました。
設定による回避
ブリッジのプロトコルベースフォワーディングにおいては、VLANおよびLLC/SNAP形式のフレームを転送しないように設定することで問題を回避できる場合があります。
次の設定によりVLANおよびLLC/SNAP形式のフレームの転送を無効化できます。
interface.bridge[].forward.other: disableただしこれは、IPv4、IPv6、またはPPPoEでない「その他」のフレームをすべて転送しないことで、VLANおよびLLC/SNAP形式のフレームを転送しない設定であることにご注意ください。