Revision : 11.03.28
Release : Nov. 2019, 雅马哈株式会社

RTX820 Rev.11.03.28 发行说明

在进行固件版本更新前,请务必阅读以下内容

Rev.11.03.28以后的固件在进行固件升级时,请注意以下内容。

在Rev.11.03.28中,进行了以下的变更。

RTX820 Rev.11.03.28 发行说明」中,

[4] 强化了连接本设备时的安全性。

(8) 可以在telnetd host命令中,使用lan参数来指定接口,出厂状态中也追加了telnetd host lan命令。

使用Rev.11.03.28以后的固件版本,从出厂状态开始设置运营商的话,由于会设置上述的命令而导致无法从远程TELNET进行登陆。
要想从远程TELNET进行登陆时,请变更telnetd host命令的设定。

RTX820 Rev.11.03.23 之后的变更点

■脆弱性对应

  1. 进行了Script Injection的脆弱性对应。

■新增功能

  1. 支持了使用L2TPv3的L2VPN。
    https://www.yamaha.com/products/zh/network/techdocs/l2tpv3/
    请在确认了外部规格书之后使用。

  2. 在IKEv2中,增加了不接收密钥交换的开始数据包的功能。
    由此可能可以提高和一部分设备或服务的连接的稳定性。

    ○设置是否接收密钥交换的开始数据包

    [格式]
    ipsec ike negotiation receive gateway_id swith
    no ipsec ike negotiation receive gateway_id
    [设置值和默认值]
    • gateway_id : 安全网关的识别码
    • swith
      设置值 说明
      on 接收密钥交换的开始数据包
      off 不接收密钥交换的开始数据包
      [默认值]:on
    [说明]
    在IKEv2中,设置是否接收密钥交换的开始数据包。
    设置为不接收时,从结果来说,将不再作为接收方运行,必定将作为发起方运行。
    为了参考并控制接收到的开始数据包的发送源地址,设置为off时,必须设置 ipsec ike remote address或者ipsec ike remote name。

  3. 支持了PPPoE穿透功能。
    https://www.yamaha.com/products/zh/network/techdocs/pppoe_pass_through/
    请在确认了外部规格书之后使用。

  4. 强化了连接本设备时的安全性。

    1. 在设置login password [encrypted]命令、administrator password [encrypted]命令、login user命令时,将会输出设定的密码强度了。
      密码设置为空时,将会输出敦促设置密码的信息。
      • 未设置密码
        "Password is not set. Please set the password in order to enhance the security."
      • 密码强度 弱
        "Password Strength : Weak"
      • 密码强度 中
        "Password Strength : Fair"
      • 密码强度 強
        "Password Strength : Strong"
      • 密码强度 最強
        "Password Strength : Very strong"

    2. 在使用串口、TELNET、SSH、远程设置中、login password命令的设置值是出厂状态,进行匿名用户登陆时,会输出以下的信息。
      "The login password is factory default setting. Please request an administrator to change the password by the 'login password' command."

    3. 在使用串口、TELNET、SSH、远程设置中、administrator password命令的设置值是出厂状态,使用administrator命令进行升格为管理员权限时,会输出以下的信息。
      "The administrator password is factory default setting. Please change the password by the 'administrator password' command."

    4. 通过以下方式连续3次登陆失败的话,将锁定1分钟的登陆时间。
      • 串口线
      • 远程设置
      • TELNET
      • SSH
      • SFTP

      访问限制时的运行动作如下。

      • 根据连接类型进行访问限制
        但是、TELNET和SSH是根据连接的源IP地址进行限制
      • 访问限制时,将输出以下的INFO级别的SYSLOG
        "Login access from 连接类型 was restricted. [: IP地址]"
      • 连接类型是"Serial", "Remote", "TELNET", "SSH"中的一种
      • IP地址在TELNET或者SSH时会显示
      • 访问限制中进行登陆的话,控制台和SYSLOG中会输出以下的信息
        在非匿名用户登陆时,会显示用户名

        控制台:"Error: Login access is restricted."
        SYSLOG:"Login failed for 连接类型[: IP地址 [用户名]]"

    5. 连续3次登陆基本设置页面失败的话,将锁定1分钟的登陆时间。
      访问限制时的运行动作如下。
      • 访问限制由客户端的IP地址进行管理
      • 返回状态码403、表示正处在访问限制中
      • 访问限制时,将输出以下的INFO级别的SYSLOG
        "Login access from HTTP was restricted. : IP地址"
      • 访问限制中进行登陆的话,将在SYSLOG中输出以下的信息
        "Login failed for HTTP: IP地址"

    6. 管理密码或登陆密码为出厂状态,访问基本设置页面进行登陆时,将会显示敦促修改密码的信息。

    7. 访问基本设置页面、不进行登陆而导致认证会话关闭时显示的页面,变更为「Error 401」。

    8. 可以在telnetd host命令中,使用lan参数来指定接口,出厂状态中也追加了telnetd host lan命令。

    9. pptp hostname命令的默认值从机型名变成了空字符("")。

    10. 可以设置PPTP的供应商名了。

      ○PPTP的供应商名的设置

      [格式]
      pptp vendorname name no pptp vendorname
      [设置值和默认值]
      • name
        • [设置值] : 供应商名(64字节以下)
        • [默认值] : -
      [说明]
      设置PPTP的供应商名。
      [Note]
      本命令设置的值会设置到Start-Control-Connection-Request和Start-Control-Connection-Reply的供应商名中。
      不设置本命令时,供应商名为空字符。

      RTX820 Rev.11.03.28以后的固件中可以使用。
      除此之外的固件中,供应商名设置为"YAMAHA Corporation"。

    11. HTTP应答报头中,删除了可以指定机型的字符串。
      • 变更前
        • Server: YAMAHA-RT
        • WWW-Authenticate: Basic realm="[YAMAHA-RT]"
      • 变更后
        • Server: Router
        • WWW-Authenticate: Basic realm="[Router]"

■规格变更

  1. 邮件安全功能中,变更了超过邮件大小的上限时显示的log。

  2. 运行dhcp scope命令时,变更为不会删除相关的地址和选项的设置信息。

  3. 在TCP会话的MSS限制的设置的以下这些命令中,默认值由off变更为auto。
    • ip interface tcp mss limit
    • ip pp tcp mss limit
    • ip tunnel tcp mss limit
    • ipv6 interface tcp mss limit
    • ipv6 pp tcp mss limit
    • ipv6 tunnel tcp mss limit

  4. ip route命令中目的地址设置为0.0.0.0/0时,变更为显示成default。

■BUG修正

  1. 修正了在移动互联网功能中,向数据通信终端收发数据或命令时,可能会重启的BUG。

  2. 修正了在使用IPsec进行NGN据点间连接,根据tunnel ngn fallback命令,通过发送数据进行连接时,删除或变更tunnel ngn fallback命令的设置的话,在连接中断时,有时会重启的BUG。

  3. 修正了在IPv6 over IPv4隧道等接口上,设置使用OSPFv3时,极少可能会重启的BUG。

  4. 修正了ip interface tcp mss limit(默认值off)命令中设置了off以外的值时,接收到非法格式的含有窗口缩放选项的TCP数据包时会重启的BUG。
    只在Rev.11.03.23中发生。

  5. 修正了存在pp always-on命令设置为on的pp接口时,该PP接口的自动连接建立失败的话极少可能会重启的BUG。

  6. 修正了更改通信中的IPIP隧道的设置时,有时会重启的BUG。

  7. 修正了在邮件安全功能中,收发到大容量邮件时,有时会重启的BUG。

  8. 修正了在analog sip arrive myaddress命令的设置中,不输入SIP地址而运行命令的话,会重启并显示不相关的错误信息的BUG。

  9. 修正了dhcp client option命令中,参数不足时会重启的BUG。还修正了no dhcp client option命令中,参数不足时的错误信息。

  10. 修正了在基本设置页面的[详细设置与信息]-[基本连接详细设置]中,点击设置中的运营商的一览的「设置」按钮时,可能会重启的BUG。

  11. 修正了在使用IPsec的DataConnect的据点间连接中,如果在隧道接口的out方向设置了过滤的话极少可能会重启的BUG。

  12. 修正了在IPsec的IKEv2的认证中使用认证书时,在IKE_AUTH交换或者删除IKE SA时,会发生内存溢出的BUG。

  13. 修正了在覆盖以下命令的设置时,会发生内存溢出的BUG。
    • ipv6 interface ospf area
    • ipv6 pp ospf area
    • ipv6 tunnel ospf area

  14. 修正了在dhcp scope bind命令中使用客户端ID进行设置的话,删除该设定会发生内存溢出的BUG。

  15. 修正了在FastPath有效的状态进行IPIP隧道通信时,即使用tunne endpoint address命令变更了隧道端点的本地地址,也会按照变更前的本地地址进行FastPath传输处理的BUG。

  16. 修正了连接至NGN,DHCP发生更新时,会删除由DHCP生成的临时的默认路由的BUG。
    通常是设置了经由运营商访问互联网的静态默认路由,所以对通信影响不大。
    介由NGN网络的通信,因为由DHCP选项通知的路由有效,即使发生此问题也不影响通信。

  17. 修正了ip keepalive命令可以设置重复的IP地址的BUG。

  18. 修正了在linkup过至少一次的桥接接口上,即使现在是linkdown状态,无论ip icmp echo-reply send-only-linkup命令的设置如何,也会返回ICMP Echo Request应答的BUG。

  19. 修正了在NAT/IP伪装功能中,在FTP的PORT命令中用例如001或099等的3位字符描述1-2位的数字时,会用错误的数值写入端口编号中的BUG。

  20. 修正了接收到IPv6扩展头的Hop-by-Hop选项的目的地址选项中,设置了不明类型的ICMPv6 Echo Requst数据包时,不向发送源返回ICMPv6 Echo Reply数据包的BUG。

  21. 修正了重组IPv6分片数据包后的有效载荷长度超过65,535个八位字节时,不发送ICMPv6 Parameter Problem数据包的BUG。

  22. 修正了show command命令中以下命令不显示的BUG。
    • ipv6 lan-interface address
    • ipv6 lan-interface dad retry count
    • ipv6 lan-interface prefix
    • ipv6 lan-interface prefix change log
    • ipv6 lan-interface secure filter

  23. 修正了ipv6 interface mld命令中的参数检查缺陷。

  24. 修正了在以太网过滤功能中使用DHCP预约信息时,即使变更了dhcp scope bind命令的TYPE选项ethernet,仍然适用以太网过滤的BUG。

  25. 修正了在使用移动互联网功能的WAN接口连接时,有时会进行不必要的拨号的BUG。

  26. 修正了以下命令在结果为2000ms以上时误显示的BUG。
    • traceroute
    • traceroute6

  27. 修正了使用移动互联网功能的WAN接口进行IPsec时,再次联网的话,不会进行数据收发的BUG。

  28. 修正了经由PP[03]接口进行IPsec隧道连接时,隧道接口的通信不由FastPath处理的BUG。

  29. 修正了在ipsec ike local address命令中指定了vrrp,联动VRRP的状态的IPsec IKEv1隧道中,在隧道确立之前切换为VRRP主路由器的话,直到到达ipsec ike retry命令设置的再送次数(默认值10)为止旧的主路由器(非主路由器)不会停止再发IKE数据包的BUG。

  30. 修正了在L2TP/IPsec中,一个隧道可以连接多个客户端的BUG。发生此现象时,前一个连接的客户端将被切断。

  31. 修正了可以输入ip interface intrusion detection threshold命令的BUG。

  32. 修正了在ipv6 route命令中,目的地址指定为::/0时会重启的BUG。

  33. 修正了在以下命令中输入非法参数时的错误信息。
    • no ip keepalive
    • no ipsec sa policy
    • switch control function set macaddress-aging-timer

  34. 修正了在SIP通信中,如果接收到正在进行的通话的OPTIONS请求并返回响应的话、会发生内存溢出的BUG。

  35. 修正了以下的命令的命令帮助中的误记。
    • clear nat descriptor dynamic
    • ipsec sa policy
    • no ipsec sa policy
    • l2tp keepalive use
    • pp bind
    • switch control function get mirroring-dest
    • switch control function get status-fan-rpm
    • switch control function get mirroring-use

  36. 修正了在邮件安全功能中,有时不能接收邮件的BUG。

  37. 修正了dhcp client release linkdown命令设置为on时,即使超过同一命令的计数器值也不删除路由信息的BUG。
    由于此BUG,有时也不会反映在linkup后,重新从DHCP服务器获得的路由信息。

  38. 修正了在telnetd host命令中,在参数any或者none之后输入任意字符,不会报错的BUG。

  39. 修正了使用移动互联网功能的PP接口连接时,有时会不能联网的BUG。
    在Rev.11.03.13以后的固件中发生。

  40. 修正了在基本设置页面的以下页面中,即使点击了复选框或单选按钮,复选框或单选按钮的状态不会发生变化的BUG。
    • 仪表盘

  41. 修正了在基本设置页面的[设置运营商信息]中,进行以下的运营商登录时,用户ID和密码输入为特定字符的话,在设置内容的确认页面中可能会不显示输入的字符的BUG。
    • 使用PPPoE的终端型宽带连接
    • 移动互联网连接

  42. 修正了基本设置页面中,访问需要管理员权限的页面时,即使登陆密码输入3次以上并登陆失败也不会限制访问的BUG。

  43. 修正了基本设置页面的[详细设置与信息]-[设置入站过滤]中,有几处不显示中文的BUG。

■更新履历

Nov. 2019, Rev.11.03.28 发行

以上