注意:このウェブサイトにはアクセシビリティシステムが含まれています。 Control-F11を押して、スクリーンリーダーを使用している視覚障害者に合わせてWebサイトを調整します。 Control-F10を押して、ユーザー補助メニューを開きます。

SLP プロトコルのDoS攻撃に関するガイダンス

SLP プロトコルのDoS攻撃に関するガイダンス

SLP プロトコルのDoS攻撃に関するガイダンス

レノボ セキュリティ アドバイザリ: LEN-123896

潜在的影響: DoS攻撃

重要度:

影響範囲: 業界全体

CVE ID: CVE-2023-29552

 

概要:

UDPベースのリフレクション攻撃によるサービス拒否 (DOS) の脆弱性が、事前設定なしでデバイスがローカルエリアネットワーク内のサービスを検索できるサービス検出プロトコルであるSLP (Service Location Protocol) で報告されました。SLPは、設計上、認証を行わず、パケットはUDPを使用して送信されます。 この脆弱性により、SLP をサポートするデバイスが、他のデバイスに対して DOS攻撃を実行するためのトラフィック ジェネレーターとして使用される可能性があります。この動作は SLPプロトコルに固有のものであるため、利用可能な修正はありません。

Lenovo ThinkSystem V3 サーバーは、SLPをサポートしていません。その他のLenovo ストレージ、ネットワーク、およびサーバー製品は、ネットワーク上のデバイス検出用にSLPをサポートしています。XClarity Administrator(LXCA)または検出にSLPを必要とする他のシステム管理ツールを使用していない場合は、可能な限りSLPを無効にすることをおすすめします。

お客様による対策:

推奨される緩和策は以下のとおりです: 

  • 可能な限りSLPを無効化する。
  • デバイスのシステム管理インターフェースは、信頼できる安全なネットワークにのみ接続する。インターネットなどの信頼されていないネットワークにデバイスのシステム管理インターフェイスを公開しない。 
  • ホストベースおよびネットワークファイアウォールを使用して、ホストおよびネットワークからシステム管理インターフェイスへのアクセスと、システム管理インターフェイスから他のホストおよびネットワークへのアクセスを制限する。
  • ネットワークアクセスを信頼できるユーザのみに制限する 。
    ThinkSystem Server および Management Applications をご利用のお客様はご注意ください:Lenovo ThinkSystem V3 サーバーは、SLP をサポートしていません。 

SLPの無効化に関するガイダンスについては、 https://lenovopress.lenovo.com/lp1260-how-to-harden-the-security-of-your-thinksystem-server (英語) を参照してください。

  

IMM/XCC のお客様: 

OneCLIでは、次のコマンドでSLPを無効にできます: config set IMM.SLPPortControl Closed -imm <UserName>@<IMM2 IP>  

IMM2/XCCを再起動して、変更を有効にします。

  

ThinkAgile のお客様:  

Nutanixソフトウェアの、リスクの露出、解決および軽減策について、 https://www.nutanix.com/trust/security-advisories(英語) を参照してください。

VMwareソフトウェアおよびアプライアンスの、リスクの露出、解決策、および軽減策について、 https://blogs.vmware.com/security/2023/04/vmware-response-to-cve-2023-29552-reflective-denial-of-service-dos-amplification-vulnerability-in-slp.html  (英語) を参照してください。

 

その他情報および引用:

https://www.cve.org/CVERecord?id=CVE-2023-29552 

 

編集履歴:

リビジョン 日付 説明
1 2023年05月09日 新規作成

セキュリティアドバイザリの一覧は、 こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。


エイリアス番号:LEN-123896
ドキュメント ID:PS500563
リリース日:2023年05月15日
最終更新日:2023年05月15日