| ライター翻訳版 - September 24, 2008 |
| 英語版 |
| Document ID: 107646 |
Advisory ID: cisco-sa-20080924-mfi
http://www.cisco.com/warp/public/707/cisco-sa-20080924-mfi.shtml
本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳 であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision1.0
For Public Release 2008 September 24 1600 UTC (GMT)
要約
Cisco IOSソフトウェア Multi Protocol Label Switching (MPLS) Forwarding Infrastructure (MFI) は巧妙に細工されたパケットによるサービス拒絶(DoS)攻撃に脆弱です。MFIだけがこの脆弱性の影響を受けます。MFIによりリプレースされた古いLabel Forwarding Information Base (LFIB)実装は影響を受けていません。
Ciscoはこの脆弱性に対処するための無償のソフトアップデートをリリースしました。このアドバイザリは以下に掲載されます。http://www.cisco.com/JP/support/public/ht/security/102/1021565/cisco-sa-20080924-mfi-j.shtml
注: 2008年9月24日の IOSアドバイザリバンドル公開には12の Security Advisoryが含まれています。 そのうちの11のアドバイザリはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処し、1つのアドバイザリはCisco Unified Communication Managerの脆弱性に対処します。 各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。2008年9月24日に公開されたすべてのIOSソフトウェアアドバイザリを修正したリリースについては次のソフトウェアテーブルを参照して下さい: http://www.cisco.com/JP/support/public/ht/security/102/1021572/cisco-sa-20080924-bundle-j.shtmlこのアドバイザリは以下に掲載されます: http://www.cisco.com/JP/support/public/ht/security/102/1021565/cisco-sa-20080924-mfi-j.shtml
個々の公開リンクは下記にリストされています:- http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml (英語版)
- http://www.cisco.com/JP/support/public/ht/security/102/1021561/cisco-sa-20080924-iosips-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021567/cisco-sa-20080924-ssl-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021566/cisco-sa-20080924-sip-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021563/cisco-sa-20080924-ipc-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021568/cisco-sa-20080924-ubr-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021585/cisco-sa-20080924-sccp-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021590/cisco-sa-20080924-multicast-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021562/cisco-sa-20080924-iosfw-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021564/cisco-sa-20080924-l2tp-j.shtml
該当製品
MFIをサポートするCisco IOSソフトウェア(Cisco IOS Software Modularityをサポートするものを含みます)が実行されている機器で、MPLSが定義されている場合に影響を受けます。
脆弱性のある製品
Cisco IOSソフトウェアが実行され、MFIがサポートされる機器では、show subsysコマンドの出力にmfi_iosがあります。 次の例はMFIをサポートするデバイスからの出力を示したものです:
Router#show subsys name mfi_ios
Class Version
mfi_ios Protocol 1.000.001
Router#次の例はMPLSが設定されたデバイスからの出力を示したものです:
Router#show mpls interface Interface IP Tunnel BGP Static Operational Ethernet0/0 Yes (ldp) No No No Yes Router#
Cisco製品で実行されているソフトウェアを判別するためには、デバイスにログインして show versionコマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアは "Internetwork Operating System Software" または単に "IOS" として表示されます。 その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、続いて"Version"とCisco IOSリリース名が続きます。他のCiscoデバイスは show versionコマンドを持たない場合や、異なる表示をする場合があります。
次の例はCisco IOS Release 12.4(11)T2が実行されているCisco製品を確認できます:Router#show version Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T2, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 01-May-07 04:19 by prod_rel_team <output truncated>
Cisco IOSリリース命名規則のその他の情報は、以下のリンクの "White Paper: Cisco IOS Reference Guide" で確認できます: http://www.cisco.com/warp/public/620/1.html
脆弱性が存在しない製品
MFIが含まれていないCisco IOSソフトウェアバージョンを実行するデバイスは脆弱ではありません。
MPLSが設定されていないデバイスは脆弱ではありません。 Cisco IOS XRソフトウェアを実行しているデバイスは脆弱ではありません。 現時点で、これらの脆弱性の影響を受けるシスコ製品は他にありません。詳細
Cisco IOSソフトウェアの新しいバージョンではスケーラビリティおよびパフォーマンスを改善するために、新しいパケット転送インフラストラクチャが取り入れられました。 MFIと呼ばれるこのフォワーディングインフラストラクチャはユーザにはみえません。 MFIは転送のために使用されるMPLSデータ構造を管理し、古い実装である Label Forwarding Information Base (LFIB)をリプレースします。 Cisco IOSの MFI 実装は、機器を通過するパケットを含め、ソフトウェアパスで処理される巧妙に細工されたパケットによるDoS攻撃に脆弱です。そのようなパケットは、ローカルセグメントからMPLSが設定されたインターフェスへ、または トンネルインターフェイス経由で送信することができます。 MPLSネットワークのリモート・システムをターゲットとするためには、攻撃者はMPLSが有効なインターフェイスからMPLSネットワークにアクセスできる必要があります。MPLSパケットはMPLSが設定されないインターフェイスでは廃棄されます。
MFIをサポートするデバイスはshow subsysコマンドの出力にmfi_iosがあります。 MPLSが有効なインターフェイスはshow mpls interfaceコマンドによって確認することができます。 MFIに関する詳細は次のリンクで見つけることができます: http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_lsc_removed.html この脆弱性は CiscoバグID CSCsk93241 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) ID CVE-2008-3804が割り当てられています。脆弱性スコア詳細
シスコは Common Vulnerability Scoring System(CVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。
CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。 シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。 お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。 シスコは以下の URLにてCVSSに関するFAQを提供しています。 http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。 http://intellishield.cisco.com/security/alertmanager/cvss| CSCsk93241 - Chunk memory corruption on LFDp Input Proc Calculate the environmental score of CSCsk93241 | ||||||
|---|---|---|---|---|---|---|
| CVSS Base Score - 7.8 | ||||||
| Access Vector | Access Complexity | Authentication | Confidentiality Impact | Integrity Impact | Availability Impact | |
| Network | Low | None | None | None | Complete | |
| CVSS Temporal Score - 6.4 | ||||||
| Exploitability | Remediation Level | Report Confidence | ||||
| Functional | Official-Fix | Confirmed | ||||
影響
この脆弱性の利用に成功した場合、デバイスのリロードが発生し、DoS状態となる可能性があります。
ソフトウエアバージョン及び修正
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。 Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。|
Major Release |
Availability of Repaired Releases |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.0 based releases |
||
|
Affected 12.1-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.1 based releases |
||
|
Affected 12.2-Based Releases |
First Fixed Release |
Recommended Release |
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.2(44)EY; Available on 16-DEC-08 |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Releases prior to 12.2(22)S are not vulnerable. Release 12.2(22)S and later and prior to 12.2(30)S are vulnerable, release 12.2(30)S and later are not vulnerable |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
12.2(31)SB12 12.2(33)SB |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
12.2(33)SCA1 |
12.2(33)SCA1 |
|
|
12.2(44)SE3; Available on 30-SEP-08 12.2(46)SE |
12.2(46)SE |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SE |
12.2(46)SE |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(46)SE |
|
|
Not Vulnerable |
||
|
Note: Releases prior to 12.2(25)SEG4 are vulnerable, release 12.2(25)SEG4 and later are not vulnerable; |
12.2(25)SEG6 |
|
|
12.2(50)SG; Available on 24-NOV-08 |
12.2(46)SG1 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SRB |
12.2(33)SRB4 12.2(33)SRC2 |
|
|
12.2(33)SRB4 |
12.2(33)SRB4 |
|
|
12.2(33)SRC1 |
12.2(33)SRC2 |
|
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Note: Releases prior to 12.2(25)SW4 are vulnerable, release 12.2(25)SW4 and later are not vulnerable; |
12.2(25)SW12 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.2(33)SXH3 |
12.2(33)SXH3 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 12.2(33)SRC2 12.2(33)XNA2 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Affected 12.3-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.3 based releases |
||
|
Affected 12.4-Based Releases |
First Fixed Release |
Recommended Release |
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(15)XQ1 |
12.4(15)XQ1 |
|
|
Vulnerable; migrate to any release in 12.4T |
12.4(15)T7 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(15)XY4 |
12.4(15)XY4 |
|
|
12.4(15)XZ1 |
12.4(15)XZ2 |
|
|
Not Vulnerable |
||
回避策
MPLSは通常、他のMPLSが有効なデバイスに接続された物理または論理インターフェイス上で有効にされます。 MPLSが必要ではないインターフェイスでは、潜在的なアタックが開始されることを防ぐために MPLSをディセーブルにすることができます。この対応により、本脆弱性の露出を限定することができるかもしれません。
攻撃を開始することができるインターフェイスでMPLSをディセーブルにすることはできない場合は、この脆弱性を軽減する回避策はありません。修正済みソフトウェアの入手
Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。 ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。 ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。ご契約を有するお客様
サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。 ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けている お客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策 を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール: tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
この脆弱性は内部で発見されました。この通知のステータス: FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またCisco Systemsは本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20080924-mfi.shtml ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。- cust-security-announce@cisco.com
- first-bulletins@lists.first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。 この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。
更新履歴
|
Revision 1.0 |
2008-Sep-24 |
Initial public release |
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。