| ライター翻訳版 - September 24, 2008 |
| 英語版 |
| Document ID: 107578 |
Advisory ID: cisco-sa-20080924-vpn
http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision 1.2
Last Updated 2009 April 16 2100 UTC (GMT)
For Public Release 2008 September 24 1600 UTC (GMT)
目次
要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウエアバージョン及び修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順
要約
Cisco IOSバージョン12.0S、12.2、12.3または 12.4が実行され、Multiprotocol Label Switching (MPLS) Virtual Private Networks (VPNs) または VPN Routing and Forwarding Lite (VRF Lite) が定義されており、Customer Edge (CE) と Provider Edge (PE)デバイス間で Border Gateway Protocol (BGP)を使用するデバイスは VPN間での情報の伝搬が可能になるかもしれません。この脆弱性を軽減する緩和策があります。この問題は PEデバイスが拡張コミュニティを処理する際の論理エラーによって引き起こされます。この問題は攻撃者によって確定的に不正利用することはできません。Ciscoはこの脆弱性に対処するための無償のソフトアップデートをリリースしました。この脆弱性のための緩和策があります。
このアドバイザリは以下に掲載されます: http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
注: 2008年9月24日の IOSアドバイザリバンドル公開には 12の Security Advisoryが含まれています。そのうち11のアドバイザリはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処し、1つのアドバイザリはCisco Unified Communication Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。
個々の公開リンクは下記にリストされています:
- http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0156a.shtml (英語版)
- http://www.cisco.com/JP/support/public/ht/security/102/1021561/cisco-sa-20080924-iosips-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021567/cisco-sa-20080924-ssl-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021566/cisco-sa-20080924-sip-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021563/cisco-sa-20080924-ipc-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021565/cisco-sa-20080924-mfi-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021568/cisco-sa-20080924-ubr-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021585/cisco-sa-20080924-sccp-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021590/cisco-sa-20080924-multicast-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021562/cisco-sa-20080924-iosfw-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021564/cisco-sa-20080924-l2tp-j.shtml
該当製品
脆弱性のある製品
MPLS VPN かVRF Liteが設定され、CEとPEデバイス間にBGPセッションを持ち、拡張コミュニティを処理する IOSデバイスに脆弱性が存在します。デバイスにMPLS VPNかVRF Liteが設定されると address-family ipv4 vrf <vrf-name> か address-family ipv6 VRF <vrf-name>コマンドがデバイスのコンフィギュレーションに存在します。
以下はMPLS VPNが設定されたデバイスで実行されたコマンドを示します:
router# show running-config | include address-family [ipv4|ipv6] address-family ipv4 vrf <vrf-name>
以下はPEとCE間のIPv4 BGPセッションが設定されたPEデバイスを示します:
router bgp <Local AS> address-family ipv4 vrf one neighbor <neighbor IP> remote-as < Remote AS> neighbor <neighbor IP> activate
Cisco製品で実行されているソフトウェアを判別するためには、機器にログインしてshow versionコマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアは "Internetwork Operating System Software" または単に "IOS" として表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、"Version"と IOSリリース名が表示されます。他のCisco機器は show versionコマンドがない場合や、異なる表示をする場合があります。
次の例ではCisco IOS Release 12.4(11)T2が実行されているCisco製品を確認できます:
Router#show version Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T2, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 01-May-07 04:19 by prod_rel_team <output truncated>
Cisco IOSリリース命名規則のその他の情報は、以下のリンクの "White Paper: Cisco IOS Reference Guide" で確認できます: http://www.cisco.com/warp/public/620/1.html
脆弱性が存在しない製品
MPLS VPNまたはVRF Liteの設定されていないCisco製品はこの脆弱性によって影響を受けません。
IOSを実行しないCisco製品はこの脆弱性によって影響を受けません。Cisco IOS-XRは影響を受けせん。これ以外のシスコ製品において本アドバイザリーの影響を受けるものは現在確認されていません。
詳細
MPLS VPNは顧客がトラフィックを複数の隔離されたVPNに分離することを可能にするバーチャルネットワークを作成することを可能にします。それぞれのMPLS VPNのトラフィックはお互いに分離され、それによりバーチャル・プライベート・ネットワークを維持しています。
MPLSおよびMPLS VPNのさらなる情報は次のリンクを参照して下さい:http://www.cisco.com/en/US/products/ps6557/products_ios_technology_home.html不具合はMPLS VPNの拡張コミュニティの処理にあります。拡張コミュニティが使用される場合、MPLS VPNはトラフィックを転送するのに誤って破損した route target (RT)を使用するかもしれません。もしこれが発生すると、トラフィックはある MPLS VPNから別のVPNにリークする可能性があります。
この脆弱性は、影響を受けるPEデバイスがMPLS VPN Virtual Routing and forwarding (VRF)で BGPセッションを持つときはいつでも存在します。このシナリオのもっとも一般的な例は次の2つです:
1) PEとCEデバイスの間のBGPがVRFの中で動作するMPLS VPN設定。
2)BGPが自律システム境界ルータ(ASBR)の間で動作するMPLS Inter-AS option A。
回避策セクションでの緩和はPEデバイスで拡張コミュニティのフィルターを行うことにより、MPLSが設定されたデバイスがそれを受け取ることを防ぎます。この脆弱性はCiscoバグID CSCee83237によりもたらされました。CSCee83237が含まれていないCisco IOSイメージはこの問題に対して脆弱ではありません。
この条件を攻撃者によって引き起こせないこと、また、VPN間のトラフィック・フローを制御する方法を提供しないことに留意することは重要です。この脆弱性はCiscoバグID CSCec12299 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) ID CVE-2008-3803が割り当てられています。
脆弱性スコア詳細
シスコは Common Vulnerability Scoring System(CVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。
CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。シスコは以下の URLにてCVSSに関するFAQを提供しています。http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。http://intellishield.cisco.com/security/alertmanager/cvss
| CSCec12299 - Corruption of ext communities when receiving over ipv4 EBGP session Calculate the environmental score of CSCec12299 |
||||||
|---|---|---|---|---|---|---|
| CVSS Base Score- 5.1 | ||||||
| Access Vector | Access Complexity | Authentication | Confidentiality Impact | Integrity Impact | Availability Impact | |
| Network | High | None | Partial | Partial | Partial | |
| CVSS Temporal Score - 4.2 | ||||||
| Exploitability | Remediation Level | Report Confidence | ||||
| Functional | Official-Fix | Confirmed | ||||
影響
この脆弱性により、トラフィックがMPLS VPN間で不適切にルーティングされ、機密保持の違反の原因となるかもしれません。
ソフトウエアバージョン及び修正
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。
| Major Release | Availability of Repaired Releases | |
|---|---|---|
| Affected 12.0-Based Releases | First Fixed Release | Recommended Release |
| 12.0 | Not Vulnerable |
|
| 12.0DA | Not Vulnerable |
|
| 12.0DB | Not Vulnerable |
|
| 12.0DC | Not Vulnerable |
|
| 12.0S | 12.0(30)S5 12.0(31)S3 12.0(32)S |
12.0(32)S11 12.0(33)S1 |
| 12.0SC | Not Vulnerable |
|
| 12.0SL | Not Vulnerable |
|
| 12.0SP | Not Vulnerable |
|
| 12.0ST | Not Vulnerable |
|
| 12.0SX | Vulnerable; first fixed in 12.0S |
12.0(32)S11 12.0(33)S1 |
| 12.0SY | Not Vulnerable |
|
| 12.0SZ | 12.0(30)SZ4 |
12.0(32)S11 12.0(33)S1 |
| 12.0T | Not Vulnerable |
|
| 12.0W | Not Vulnerable |
|
| 12.0WC | Not Vulnerable |
|
| 12.0WT | Not Vulnerable |
|
| 12.0XA | Not Vulnerable |
|
| 12.0XB | Not Vulnerable |
|
| 12.0XC | Not Vulnerable |
|
| 12.0XD | Not Vulnerable |
|
| 12.0XE | Not Vulnerable |
|
| 12.0XF | Not Vulnerable |
|
| 12.0XG | Not Vulnerable |
|
| 12.0XH | Not Vulnerable |
|
| 12.0XI | Not Vulnerable |
|
| 12.0XJ | Not Vulnerable |
|
| 12.0XK | Not Vulnerable |
|
| 12.0XL | Not Vulnerable |
|
| 12.0XM | Not Vulnerable |
|
| 12.0XN | Not Vulnerable |
|
| 12.0XQ | Not Vulnerable |
|
| 12.0XR | Not Vulnerable |
|
| 12.0XS | Not Vulnerable |
|
| 12.0XT | Not Vulnerable |
|
| 12.0XV | Not Vulnerable |
|
| Affected 12.1-Based Releases | First Fixed Release | Recommended Release |
There are no affected 12.1 based releases |
||
| Affected 12.2-Based Releases | First Fixed Release | Recommended Release |
| 12.2 | Not Vulnerable |
|
| 12.2B | Not Vulnerable |
|
| 12.2BC | Not Vulnerable |
|
| 12.2BW | Not Vulnerable |
|
| 12.2BX | Not Vulnerable |
|
| 12.2BY | Not Vulnerable |
|
| 12.2BZ | Not Vulnerable |
|
| 12.2CX | Not Vulnerable |
|
| 12.2CY | Not Vulnerable |
|
| 12.2CZ | Not Vulnerable |
|
| 12.2DA | Not Vulnerable |
|
| 12.2DD | Not Vulnerable |
|
| 12.2DX | Not Vulnerable |
|
| 12.2EW | Not Vulnerable |
|
| 12.2EWA | Not Vulnerable |
|
| 12.2EX | Not Vulnerable |
|
| 12.2EY | Not Vulnerable |
|
| 12.2EZ | Not Vulnerable |
|
| 12.2FX | Not Vulnerable |
|
| 12.2FY | Not Vulnerable |
|
| 12.2FZ | Not Vulnerable |
|
| 12.2IRB | Not Vulnerable |
|
| 12.2IXA | Vulnerable; migrate to any release in 12.2IXD |
12.2(18)IXG |
| 12.2IXB | Vulnerable; migrate to any release in 12.2IXD |
12.2(18)IXG |
| 12.2IXC | Vulnerable; migrate to any release in 12.2IXD |
12.2(18)IXG |
| 12.2IXD | Not Vulnerable |
|
| 12.2IXE | Not Vulnerable |
|
| 12.2IXF | Not Vulnerable |
|
| 12.2IXG | Not Vulnerable |
|
| 12.2JA | Not Vulnerable |
|
| 12.2JK | Not Vulnerable |
|
| 12.2MB | Not Vulnerable |
|
| 12.2MC | Not Vulnerable |
|
| 12.2S | 12.2(30)S and later are vulnerable. 12.2(25)S and before are not vulnerable |
12.2(33)SB2; Available on 26-SEP-08 |
| 12.2SB | 12.2(28)SB5 12.2(31)SB2 12.2(31)SB3x |
12.2(33)SB2; Available on 26-SEP-08 |
| 12.2SBC | Vulnerable; first fixed in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 |
| 12.2SCA | Not Vulnerable |
|
| 12.2SE | Not Vulnerable |
|
| 12.2SEA | Not Vulnerable |
|
| 12.2SEB | Not Vulnerable |
|
| 12.2SEC | Not Vulnerable |
|
| 12.2SED | Not Vulnerable |
|
| 12.2SEE | Not Vulnerable |
|
| 12.2SEF | Not Vulnerable |
|
| 12.2SEG | Not Vulnerable |
|
| 12.2SG | 12.2(37)SG |
12.2(46)SG1 |
| 12.2SGA | 12.2(31)SGA8 |
12.2(31)SGA8 |
| 12.2SL | Not Vulnerable |
|
| 12.2SM | 12.2(29)SM2 |
12.2(29)SM4 |
| 12.2SO | Not Vulnerable |
|
| 12.2SRA | Not Vulnerable |
|
| 12.2SRB | Not Vulnerable |
|
| 12.2SRC | Not Vulnerable |
|
| 12.2SU | Not Vulnerable |
|
| 12.2SV | 12.2(29b)SV1 |
|
| 12.2SVA | Not Vulnerable |
|
| 12.2SVC | Not Vulnerable |
|
| 12.2SVD | Not Vulnerable |
|
| 12.2SW | Not Vulnerable |
|
| 12.2SX | Not Vulnerable |
|
| 12.2SXA | Not Vulnerable |
|
| 12.2SXB | Not Vulnerable |
|
| 12.2SXD | Not Vulnerable |
|
| 12.2SXE | Vulnerable; first fixed in 12.2SXF |
12.2(18)SXF15 |
| 12.2SXF | 12.2(18)SXF3 |
12.2(18)SXF15 |
| 12.2SXH | Not Vulnerable |
|
| 12.2SY | Not Vulnerable |
|
| 12.2SZ | Not Vulnerable |
|
| 12.2T | Not Vulnerable |
|
| 12.2TPC | Not Vulnerable |
|
| 12.2XA | Not Vulnerable |
|
| 12.2XB | Not Vulnerable |
|
| 12.2XC | Not Vulnerable |
|
| 12.2XD | Not Vulnerable |
|
| 12.2XE | Not Vulnerable |
|
| 12.2XF | Not Vulnerable |
|
| 12.2XG | Not Vulnerable |
|
| 12.2XH | Not Vulnerable |
|
| 12.2XI | Not Vulnerable |
|
| 12.2XJ | Not Vulnerable |
|
| 12.2XK | Not Vulnerable |
|
| 12.2XL | Not Vulnerable |
|
| 12.2XM | Not Vulnerable |
|
| 12.2XN | Not Vulnerable |
|
| 12.2XNA | Not Vulnerable |
|
| 12.2XNB | Not Vulnerable |
|
| 12.2XO | Not Vulnerable |
|
| 12.2XQ | Not Vulnerable |
|
| 12.2XR | Not Vulnerable |
|
| 12.2XS | Not Vulnerable |
|
| 12.2XT | Not Vulnerable |
|
| 12.2XU | Not Vulnerable |
|
| 12.2XV | Not Vulnerable |
|
| 12.2XW | Not Vulnerable |
|
| 12.2YA | Not Vulnerable |
|
| 12.2YB | Not Vulnerable |
|
| 12.2YC | Not Vulnerable |
|
| 12.2YD | Not Vulnerable |
|
| 12.2YE | Not Vulnerable |
|
| 12.2YF | Not Vulnerable |
|
| 12.2YG | Not Vulnerable |
|
| 12.2YH | Not Vulnerable |
|
| 12.2YJ | Not Vulnerable |
|
| 12.2YK | Not Vulnerable |
|
| 12.2YL | Not Vulnerable |
|
| 12.2YM | Not Vulnerable |
|
| 12.2YN | Not Vulnerable |
|
| 12.2YO | Not Vulnerable |
|
| 12.2YP | Not Vulnerable |
|
| 12.2YQ | Not Vulnerable |
|
| 12.2YR | Not Vulnerable |
|
| 12.2YS | Not Vulnerable |
|
| 12.2YT | Not Vulnerable |
|
| 12.2YU | Not Vulnerable |
|
| 12.2YV | Not Vulnerable |
|
| 12.2YW | Not Vulnerable |
|
| 12.2YX | Not Vulnerable |
|
| 12.2YY | Not Vulnerable |
|
| 12.2YZ | Not Vulnerable |
|
| 12.2ZA | Not Vulnerable |
|
| 12.2ZB | Not Vulnerable |
|
| 12.2ZC | Not Vulnerable |
|
| 12.2ZD | Not Vulnerable |
|
| 12.2ZE | Not Vulnerable |
|
| 12.2ZF | Not Vulnerable |
|
| 12.2ZG | Not Vulnerable |
|
| 12.2ZH | Not Vulnerable |
|
| 12.2ZJ | Not Vulnerable |
|
| 12.2ZL | Not Vulnerable |
|
| 12.2ZP | Not Vulnerable |
|
| 12.2ZU | Not Vulnerable |
|
| 12.2ZX | Vulnerable; first fixed in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 |
| 12.2ZY | Not Vulnerable |
|
| 12.2ZYA | Not Vulnerable |
|
| Affected 12.3-Based Releases | First Fixed Release | Recommended Release |
| 12.3 | Not Vulnerable |
|
| 12.3B | Not Vulnerable |
|
| 12.3BC | Not Vulnerable |
|
| 12.3BW | Not Vulnerable |
|
| 12.3EU | Not Vulnerable |
|
| 12.3JA | Not Vulnerable |
|
| 12.3JEA | Not Vulnerable |
|
| 12.3JEB | Not Vulnerable |
|
| 12.3JEC | Not Vulnerable |
|
| 12.3JK | Not Vulnerable |
|
| 12.3JL | Not Vulnerable |
|
| 12.3JX | Not Vulnerable |
|
| 12.3T | Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
| 12.3TPC | Not Vulnerable |
|
| 12.3VA | Not Vulnerable |
|
| 12.3XA | Not Vulnerable |
|
| 12.3XB | Not Vulnerable |
|
| 12.3XC | Not Vulnerable |
|
| 12.3XD | Not Vulnerable |
|
| 12.3XE | Not Vulnerable |
|
| 12.3XF | Not Vulnerable |
|
| 12.3XG | Not Vulnerable |
|
| 12.3XI | Not Vulnerable |
|
| 12.3XJ | Not Vulnerable |
|
| 12.3XK | Not Vulnerable |
|
| 12.3XL | Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
| 12.3XQ | Not Vulnerable |
|
| 12.3XR | Not Vulnerable |
|
| 12.3XS | Not Vulnerable |
|
| 12.3XU | Not Vulnerable |
|
| 12.3XW | Not Vulnerable |
|
| 12.3XX | Not Vulnerable |
|
| 12.3XY | Not Vulnerable |
|
| 12.3XZ | Not Vulnerable |
|
| 12.3YA | Not Vulnerable |
|
| 12.3YD | Not Vulnerable |
|
| 12.3YF | Vulnerable; first fixed in 12.3YX |
12.3(14)YX13 12.4(15)T7 |
| 12.3YG | Not Vulnerable |
|
| 12.3YH | Not Vulnerable |
|
| 12.3YI | Not Vulnerable |
|
| 12.3YJ | Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
| 12.3YK | 12.3(11)YK3 |
12.4(15)T7 |
| 12.3YM | 12.3(14)YM10 |
12.3(14)YM13; Available on 30-SEP-08 |
| 12.3YQ | Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
| 12.3YS | 12.3(11)YS2 |
12.4(15)T7 |
| 12.3YT | Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
| 12.3YU | Vulnerable; first fixed in 12.4XB |
12.4(2)XB10 12.4(9)XG3 12.4(15)T7 |
| 12.3YX | 12.3(14)YX7 |
12.3(14)YX13 |
| 12.3YZ | 12.3(11)YZ2 |
|
| 12.3ZA | Not Vulnerable |
|
| Affected 12.4-Based Releases | First Fixed Release | Recommended Release |
| 12.4 | 12.4(10c) 12.4(12a) 12.4(13) 12.4(3h) 12.4(5c) 12.4(7e) 12.4(8d) |
12.4(18c) |
| 12.4JA | Not Vulnerable |
|
| 12.4JK | Not Vulnerable |
|
| 12.4JL | Not Vulnerable |
|
| 12.4JMA | Not Vulnerable |
|
| 12.4JMB | Not Vulnerable |
|
| 12.4JMC | Not Vulnerable |
|
| 12.4JX | Not Vulnerable |
|
| 12.4MD | Not Vulnerable |
|
| 12.4MR | Not Vulnerable |
|
| 12.4SW | 12.4(11)SW1 |
12.4(15)SW2; Available on 28-SEP-08 |
| 12.4T | 12.4(11)T2 12.4(15)T 12.4(2)T6 12.4(4)T8 12.4(6)T7 12.4(9)T3 |
12.4(15)T7 |
| 12.4XA | Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
| 12.4XB | 12.4(2)XB6 |
12.4(2)XB10 |
| 12.4XC | 12.4(4)XC7 |
12.4(15)T7 |
| 12.4XD | 12.4(4)XD7 |
12.4(4)XD11; Available on 26-SEP-08 |
| 12.4XE | 12.4(6)XE3 |
12.4(15)T7 |
| 12.4XF | Not Vulnerable |
|
| 12.4XG | 12.4(9)XG2 |
12.4(9)XG3 |
| 12.4XJ | 12.4(11)XJ2 |
12.4(15)T7 |
| 12.4XK | Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
| 12.4XL | Not Vulnerable |
|
| 12.4XM | Not Vulnerable |
|
| 12.4XN | Not Vulnerable |
|
| 12.4XP | Vulnerable; contact TAC |
|
| 12.4XQ | Not Vulnerable |
|
| 12.4XR | Not Vulnerable |
|
| 12.4XT | 12.4(6)XT1 |
12.4(15)T7 |
| 12.4XV | Not Vulnerable |
|
| 12.4XW | Not Vulnerable |
|
| 12.4XY | Not Vulnerable |
|
| 12.4XZ | Not Vulnerable |
|
| 12.4YA | Not Vulnerable |
|
回避策
拡張コミュニティのフィルタリングをサポートしてるCisco IOSのバージョンを実行している顧客は、インバウンドBGPセッションでの RTエントリを削除するBGPルートマップを加えることによって route target (RT) の破損を防ぐことができます。
次の定義例は、PEデバイスの ipv4 address-familyに適用され、CEルータからの拡張コミュニティを取り除きます:
router bgp <Local AS> address-family ipv4 vrf one neighbor <neighbor IP> remote-as <Remote AS> neighbor <neighbor IP> activate neighbor <neighbor IP> route-map FILTER in exit-address-family ! ip extcommunity-list 100 permit _RT.*_ ! ! route-map FILTER permit 10 set extcomm-list 100 delete !
次の定義例は、PEデバイスの ipv6 address-familyに適用され、CEルータからの拡張コミュニティを取り除きます:
router bgp <Local AS> address-family ipv6 vrf one neighbor <neighbor IP> remote-as <Remote AS> neighbor <neighbor IP> activate neighbor <neighbor IP> route-map FILTER in exit-address-family ! ip extcommunity-list 100 permit _RT.*_ ! ! route-map FILTER permit 10 set extcomm-list 100 delete !
注: 拡張コミュニティのフィルタリング機能は特定の12.0Sおよび12.2SベースのCisco IOSリリースだけで利用できます。
このコンフィギュレーション変更を有効にするためには、PEとCE間のBGPセッションがクリアされる必要があります。
修正済みソフトウェアの入手
Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
ご契約を有するお客様
サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール: tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
この脆弱性は顧客によってCiscoに報告されました。この脆弱性は攻撃者によって確定的に引き起こすことはできません。
この通知のステータス: FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またCisco Systemsは本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。 http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。
- cust-security-announce@cisco.com
- first-bulletins@lists.first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。
更新履歴
Revision 1.2 |
2009-April-16 |
Removed references to the combined software table, as it is now outdated. |
Revision 1.1 |
2008-Nov-19 |
Updated configuration examples in Workarounds section. |
Revision 1.0 |
2008-Sep-24 |
Initial public release |
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。