| ライター翻訳版 - March 25, 2009 |
| 英語版 |
| Document ID: 109337 |
Advisory ID: cisco-sa-20090325-tcp
http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml
本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳 であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision 1.2
Last Updated 2009 July 07 2030 UTC (GMT)
For Public Release 2009 March 25 1600 UTC (GMT)
要約
Cisco IOS ソフトウェアの複数のフィーチャーに脆弱性が存在し、攻撃者によりサービス拒絶(DoS)状態に陥る可能性があります。 巧妙に細工された TCP パケットにより脆弱な機器でリロードが発生する可能性があります。
Ciscoはこの脆弱性に対処する無償のソフトウェアアップデートをリリースしました。
この脆弱性の緩和策については、回避策のセクションで説明されています。
このアドバイザリは以下に掲載されます: http://www.cisco.com/JP/support/public/ht/security/106/1065621/cisco-sa-20090325-tcp-j.shtml
注:2009年 3月 25日のIOSアドバイザリバンドル公開には 8つの Security Advisory が含まれています。それらは全て Cisco IOS ソフトウェアの脆弱性に対処するものです。各アドバイザリには、そのアドバイザリで記述された脆弱性を解決するリリースを記載しています。個々の公開リンクは下記に掲載されています:
- Cisco IOS cTCP Denial of Service Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065614/cisco-sa-20090325-ctcp-j.shtml - Cisco IOS Software Multiple Features IP Sockets Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065617/cisco-sa-20090325-ip-j.shtml - Cisco IOS Software Mobile IP and Mobile IPv6 Vulnerabilities
http://www.cisco.com/JP/support/public/ht/security/106/1065612/cisco-sa-20090325-mobileip-j.shtml - Cisco IOS Software Secure Copy Privilege Escalation Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065615/cisco-sa-20090325-scp-j.shtml - Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065619/cisco-sa-20090325-sip-j.shtml - Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065621/cisco-sa-20090325-tcp-j.shtml - Cisco IOS Software Multiple Features Crafted UDP Packet Vulnerability
http://www.cisco.com/JP/support/public/ht/security/106/1065622/cisco-sa-20090325-udp-j.shtml - Cisco IOS Software WebVPN and SSLVPN Vulnerabilities
http://www.cisco.com/JP/support/public/ht/security/106/1065618/cisco-sa-20090325-webvpn-j.shtml
該当製品
脆弱性のある製品
Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアのうち、影響を受けるバージョンで下記の機能のいずれかを使用する機器は本アドバイザリの影響を受けます:
-
Airline Product Set (ALPS)
-
Serial Tunnel Code(STUN) および Block Serial Tunnel Code(BSTUN)
-
Native Client Interface Architecture (NCIA) のサポート
-
Data-link switching (DLSw)
-
Remote Source-Route Bridging (RSRB)
-
Point to Point Tunneling Protocol (PPTP)
-
X.25 for Record Boundary Preservation
-
X.25 over TCP (XOT)
-
X.25 Routing
影響する機能が有効であるか判断する方法は、本アドバイザリの詳細セクションで提供されています。
Cisco 製品で稼動中の Cisco IOS ソフトウェア リリースを確認するには、 機器にログインし show version コマンドを 実行してシステムバナーを表示させます。Cisco IOS ソフトウェアは、 "Internetwork Operating System Software" もしくは "Cisco IOS Software" と表示されます。 その後ろにイメージ名が括弧の間に表示され、 続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他の Cisco 機器では、 show version コマンドがない場合や、 異なる表示をする場合があります。
以下の例は Cisco 製品で Cisco IOS ソフトウェアリリース 12.3(26)、イメージネーム C2500-IS-L が稼動していることを示します:Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih <output truncated>
以下の例は Cisco 製品で Cisco IOS ソフトウェアリリース 12.4(20)T、イメージネーム C1841-ADVENTERPRISEK9-M が稼動していることを示します:
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team <output truncated>
Cisco IOS ソフトウエアのリリース命名規則の追加情報は以下のリンクの "White Paper: Cisco IOS Reference Guide"で確認できます: http://www.cisco.com/warp/public/620/1.html
脆弱性が存在しない製品
以下の機能およびソフトウェアはこの脆弱性の影響を受けません。
-
Cisco IOS XR ソフトウェア
-
BGPは影響を受けません
他の Cisco 製品において本アドバイザリーの影響を受けるものは現在確認されていません。
詳細
この脆弱性を不正に利用するには、以下に説明される機能に関連するTCPポート番号で 3-way ハンドシェイクを完了する必要があります。
Airline Product Set (ALPS)
ALPS が設定されたデバイスには脆弱性が存在します。ALPS で使用される TCP リスニングポート番号は 350 および 10000 です。以下は脆弱な ALPS の設定例になります:
alps local-peer <ip address>
ALPSに関する詳細な情報は、次のリンクの「Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring the Airline Product Set」を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfalps_ps1835_TSD_Products_Configuration_Guide_Chapter.html
Serial Tunnel Code (STUN)および Block Serial Tunneling (BSTUN)
STUN および BSTUN が設定されたデバイスには脆弱性が存在します。STUN で使用される TCP リスニングポート番号は 1990、1991、1992、および1994です。BSTUN で使用される TCP リスニングポート番号は1963、1976、1977、1978、および1979です。以下は脆弱な STUN の設定例になります:
interface serial 0/0/0 encapsulation stun
以下は脆弱な BSTUN の設定例になります:
interface serial 0/0/0 encapsulation bstun
STUN および BSTUN 関する詳細な情報は、次のリンクの「Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring Serial Tunnel and Block Serial Tunnel」を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfstun_ps1835_TSD_Products_Configuration_Guide_Chapter.html
Native Client Interface Architecture のサポート (NCIA)
NCIA が設定されたデバイスは、使用するトランスポートが原因となる脆弱性が存在します。使用される TCP リスニングポート番号は、NCIA と併用して使用する RSRB や DLSw などのプロトコルに依存します。以下は脆弱な設定例になります:
ncia server 1 10.66.91.138 0000.1111.2222 2222.2222.2222 1
NCIA に関する詳細な情報は、次のリンクの「Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.4 - Configuring NCIA Client/Server」を参照してください。http://www.cisco.com/en/US/docs/ios/bridging/configuration/guide/br_ncia_client_svr_ps6350_TSD_Products_Configuration_Guide_Chapter.html
Data-link switching (DLSw)
DLSw が設定されたデバイスには脆弱性が存在します。DLSw で使用される TCP リスニングポート番号は2065、2067、1981、1982および1983です。以下は脆弱な設定例になります:/p>
dlsw local-peer peer-id <ip address>
FSTカプセル化またはダイレクトカプセル化が設定されているデバイスであっても"dlsw local-peer peer-id ip address"コマンドによって TCP ポートがオープンとなるため脆弱です。
DLSw に関する詳細な情報は、次のリンクの「"Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.4 - Configuring Data-Link Switching Plus」を参照してください。http://www.cisco.com/en/US/docs/ios/bridging/configuration/guide/br_dlsw_plus_ps6350_TSD_Products_Configuration_Guide_Chapter.html
Remote Source-Route Bridging (RSRB)
TCP コネクション上の IP カプセル化を使用する RSRB を設定したデバイスには脆弱性が存在します。RSRB で使用される TCP リスニングポート番号は1996、1987、1988および1989です。以下は脆弱な設定例になります:
source-bridge ring-group 10 source-bridge remote-peer 10 tcp <ip address>
なお、ダイレクトカプセル化を使用する RSRB 、もしくは FST コネクション上の IP カプセル化を使用する RSRB はこの脆弱性の影響は受けません。
RSRB に関する詳細な情報は、次のリンクの「Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring Remote Source-Route Bridging」を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfrsrb_ps1835_TSD_Products_Configuration_Guide_Chapter.html
Point to Point Tunneling Protocol (PPTP)
PPTP が設定されたデバイスには脆弱性が存在します。PPTP で使用される TCP リスニングポート番号は1723です。以下は脆弱な設定例になります:
vpdn enable ! vpdn-group pptp ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1
または
vpdn enable ! vpdn-group L2_Tunneling ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1
PPTP に関する詳細な情報は、次のリンクの「Cisco IOS VPDN Configuration Guide, Release 12.4 - Configuring Client-Initiated Dial-In VPDN Tunneling」を参照してください。http://www.cisco.com/en/US/docs/ios/vpdn/configuration/guide/client_init_dial-in_ps6350_TSD_Products_Configuration_Guide_Chapter.html
X.25 Record Boundary Preservation (RBP)
RBP が設定されたデバイスは脆弱であるとみなすことができます。使用される TCP リスニングポート番号は次の例に示すように "local port port_number""コマンドで設定します。 以下は脆弱な設定例になります。まず、相手先選択接続(SVC)の例です:
interface Serial1/0 x25 map rbp 1111 local port <port_number>
次に、相手先固定接続(PVC)の例です:
interface Serial1/0 x25 map pvc <pvc_number> rbp local port <port_number>
RBP に関する詳細な情報は、次のリンクの「Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - X.25 Record Boundary Preservation for Data Communications Networks」を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_x25_rbp_dcn_ps6350_TSD_Products_Configuration_Guide_Chapter.html
X.25 over TCP (XOT)
XOT が設定されたデバイスには脆弱性が存在します。XOT で使用される TCP リスニングポート番号は1998です。 以下は脆弱な設定例になります。
xot access-group 1 and a corresponding access-list 1.
XOT に関する詳細な情報は、次のリンクの「Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - X.25 over TCP Profiles」を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_x25otcp_pro_ps6350_TSD_Products_Configuration_Guide_Chapter.html
X25 routing
X25 が設定されたデバイスには脆弱性が存在します。X25 で使用される TCP リスニングポート番号は1998です。以下は脆弱な設定例になります。
x25 routing
X25 に関する詳細な情報は、次のリンクの「Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - Configuring X.25 and LAPB」を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_cfg_x25_lapb_ps6350_TSD_Products_Configuration_Guide_Chapter.html
この脆弱性は、Cisco Bug ID CSCsr29468(登録ユーザのみ)で文書化され、CVE-ID CVE-2009-0629 が割り当てられています。
脆弱性スコア詳細
Cisco はこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System (CVSS) に基づいたスコアを提供しています。 このセキュリティアドバイザリでの CVSSスコアは CVSS version 2.0に基づいています。
CVSSは、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。 Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。 お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、 個々のネットワークにおける脆弱性の影響度を導き出すことができます。Cisco は以下の URL にて CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html
また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。 http://intellishield.cisco.com/security/alertmanager/cvss| CSCsr29468: Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability Calculate the environmental score of CSCsr29468 | ||||||
|---|---|---|---|---|---|---|
| CVSS Base Score - 7.8 | ||||||
| Access Vector | Access Complexity | Authentication | Confidentiality Impact | Integrity Impact | Availability Impact | |
| Network | Low | None | None | None | Complete | |
| CVSS Temporal Score - 6.4 | ||||||
| Exploitability | Remediation Level | Report Confidence | ||||
| Functional | Official-Fix | Confirmed | ||||
影響
この脆弱性の利用に成功した場合、影響を受けた機器では再起動が発生することがあります。また、これが繰り返されることによって、結果としてサービス拒絶(DoS)状態になることがあります。
ソフトウエアバージョン及び修正
ソフトウェアのアップグレードを検討する際には、 http://www.cisco.com/go/psirt および、本アドバイザリ以降に公開のアドバイザリも参照して、 起こりうる障害と完全なアップグレード ソリューションを判断してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、Cisco Technical Assistance Center(TAC)もしくは契約している保守会社にお問い合せください。
Cisco IOS ソフトウェアテーブル(下記)の各行は Cisco IOS のリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、このアドバイザリの公開時点において公開済みである全ての脆弱性についての修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである機器は脆弱であることが知られています。Cisco はテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。
|
Major Release |
Availability of Repaired Releases |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.0 based releases |
||
|
Affected 12.1-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.1 based releases |
||
|
Affected 12.2-Based Releases |
First Fixed Release |
Recommended Release |
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SG |
12.2(31)SGA9 |
|
|
Vulnerable; first fixed in 12.2SG |
12.2(31)SGA9 |
|
|
Releases prior to 12.2(44)EX are vulnerable, release 12.2(44)EX and later are not vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
12.2(44)EY |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SRC |
12.2(33)SRC4 |
|
|
Vulnerable; first fixed in 12.2SRC |
12.2(33)SRC4 |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Vulnerable; migrate to any release in 12.2IXH |
12.2(18)IXH |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB4 |
|
|
12.2(33)SB3 12.2(28)SB13 12.2(31)SB14 |
12.2(33)SB4 |
|
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB4 |
|
|
Vulnerable; first fixed in 12.2SCB |
12.2(33)SCB1 |
|
|
12.2(33)SCB1 |
12.2(33)SCB1 |
|
|
12.2(46)SE2 12.2(50)SE 12.2(44)SE5 |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
Not Vulnerable |
||
|
Releases prior to 12.2(25)SEG4 are vulnerable, release 12.2(25)SEG4 and later are not vulnerable; first fixed in 12.2SE |
12.2(44)SE6 |
|
|
12.2(50)SG |
12.2(52)SG |
|
|
12.2(31)SGA9 |
12.2(31)SGA9 |
|
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SRC |
12.2(33)SRC4 |
|
|
Vulnerable; first fixed in 12.2SRC |
12.2(33)SRB5a 12.2(33)SRC4 12.2(33)SRD1 |
|
|
12.2(33)SRC3 |
12.2(33)SRC4 12.2(33)SRD1 |
|
|
12.2(33)SRD1 |
12.2(33)SRD1 |
|
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; migrate to any release in 12.4SW |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SXF |
12.2(18)SXF16 |
|
|
Vulnerable; first fixed in 12.2SXF |
12.2(18)SXF16 |
|
|
12.2(18)SXF16 |
12.2(18)SXF16 |
|
|
12.2(33)SXH5 |
12.2(33)SXH5 |
|
|
12.2(33)SXI1 |
12.2(33)SXI1 |
|
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB4 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SRC |
12.2(33)SB4 12.2(33)SRD1 |
|
|
Vulnerable; first fixed in 12.2SRD |
12.2(33)SRD1 |
|
|
12.2(33)XNB1 |
12.2(33)XNB3 |
|
|
Not Vulnerable |
||
|
12.2(46)XO |
12.2(46)XO |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.2SXH |
12.2(33)SXH5 |
|
|
Vulnerable; first fixed in 12.2SB |
12.2(33)SB4 |
|
|
Vulnerable; contact TAC |
||
|
12.2(18)ZYA1 |
12.2(18)ZYA1 |
|
|
Affected 12.3-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.3 based releases |
||
|
Affected 12.4-Based Releases |
First Fixed Release |
Recommended Release |
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(15)MD2 Releases prior to 12.4(11)MD6 are not vulnerable, releases 12.4(15)MD and later are vulnerable. |
12.4(11)MD7 |
|
|
12.4(19)MR1 Releases prior to 12.4(16)MR2 are not vulnerable, releases 12.4(19)MR and later are vulnerable |
12.4(19)MR2 |
|
|
Not Vulnerable |
||
|
12.4(22)T 12.4(20)T2 Releases prior to 12.4(20)T are NOT vulnerable |
12.4(22)T1 12.4(15)T9 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(15)XQ2 |
12.4(15)XQ2 |
|
|
12.4(15)XR4 |
12.4(22)T1 12.4(15)T9 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(15)XY4 |
12.4(22)T1 12.4(15)T9 |
|
|
12.4(15)XZ2 |
12.4(15)XZ2 |
|
|
12.4(20)YA2 |
12.4(20)YA3 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
回避策
この脆弱性に対処する Cisco IOS ソフトウェアへのアップグレードが実施されるまでの間、次の方法でこの脆弱性の影響を緩和することが可能となります:
Infrastructure Access Control Lists
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャデバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。Infrastructure Access Control Lists (iACLs)は、特定の脆弱性に対する回避策であると同時に、長期に渡って最善のネットワークセキュリティとなると考える事ができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれるIPアドレスを持つ全ての機器を保護します:
!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: ALPS
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 350
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 10000
!---
!--- Deny ALPS TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 350
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 10000
!---
!--- Feature: STUN
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1994
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD range 1990 1992
!---
!--- Deny STUN TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1994
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD range 1990 1992
!---
!--- Feature: BSTUN
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1963
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD range 1976 1979
!---
!--- Deny BSTUN TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1963
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD range 1976 1979
!---
!--- Feature: NCIA
!---
!---
!--- Leverage the underlying protocols, DLSw, RSRB, etc.
!---
!---
!--- Feature: DLSW
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 2065
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 2067
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD range 1981 1983
!---
!--- Deny DLSW TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 2065
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 2067
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD range 1981 1983
!---
!--- Feature: RSRB
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD range 1987 1989
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1996
!---
!--- Deny RSRB TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD range 1987 1989
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1996
!---
!--- Feature: PPTP
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1723
!---
!--- Deny PPTP TCP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1723
!---
!--- Feature: RBP
!---
!--- RBP will listen for TCP connections on the configured port
!--- as per "local port <port_number>". The following example
!--- uses port 1055
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1055
!---
!--- Deny RBP traffic from all other sources destined
!--- to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1055
!---
!--- Feature: XOT and X.25 Routing
!---
access-list 150 permit tcp TRUSTED_HOSTS MASK
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1998
!---
!--- Deny XOT and X25 TCP traffic from all other sources
!--- destined to infrastructure addresses.
!---
access-list 150 deny tcp any
INFRASTRUCTURE_ADDRESSES WILDCARD eq 1998
!---
!--- Permit/deny all other Layer 3 and Layer 4 traffic in
!--- accordance with existing security policies and
!--- configurations Permit all other traffic to transit the
!--- device.
!---
access-list 150 permit ip any any
!---
!--- Apply access-list to all interfaces (only one example
!--- shown)
!---
interface serial 2/0
ip access-group 150 inホワイトペーパーの「Protecting Your Core: Infrastructure Protection Access Control Lists」は、アクセスリストによってインフラストラクチャデバイスを守るためのガイドラインと、推奨される導入方法が記載されています。このホワイトペーパーは次のリンクから入手できます: http://www.cisco.com/JP/support/public/ht/white_paper/100/1006441/iacl-j.shtml
Receive ACL (rACL)
分散型のプラットフォームでは、12000 (GSR) シリーズは 12.0(21)S2、7500 シリーズは 12.0(24)S、10720 シリーズは 12.0(31)S の IOS ソフトウェアからサポートされている Receive ACL が選択肢となります。Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響を与える前に、そのトラフィックからデバイスを保護することができます。Receive ACL は設定されたデバイスだけを保護するように設計されています。12000シリーズ、7500シリーズ、10720シリーズではトランジットトラフィックは receive ACL の影響を受けません。なぜなら、下記の ACL エントリの例で使用される宛先 IP アドレス "any" はルータ自身の物理 IP アドレスまたはバーチャル IP アドレスしか参照しないからです。Receive ACL はこの脆弱性に対する回避策であると同時に、長期に渡って最善のネットワークセキュリティとなると考える事ができます。ホワイトペーパーの「Protecting Your Core: Infrastructure Protection Access Control Lists」は、アクセスリストによってインフラストラクチャデバイスを守るためのガイドラインと、推奨される導入方法が記載されています。 このホワイトペーパーは次のリンクから入手できます。http://www.cisco.com/JP/support/public/ht/white_paper/100/1006440/racl-j.shtml
以下は信頼できるホストから特定の種類のトラフィックを許可するために書かれた receive path ACL です:
!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!---
!--- Permit ALPS traffic from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 350
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 10000
!---
!--- Deny ALPS traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 350
access-list 150 deny tcp any any eq 10000
!---
!--- Permit STUN traffic from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1994
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any range 1990 1992
!---
!--- Deny STUN traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 1994
access-list 150 deny tcp any any eq range 1990 1992
!---
!--- Permit BSTUN traffic from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1963
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any range 1976 1979
!---
!--- Deny BSTUN traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 1963
access-list 150 deny tcp any any eq range 1976 1979
!---
!--- Permit DLSw from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 2065
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 2067
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any range 1981 1983
!---
!--- Deny DLSw all other sources to the RP.
!---
access-list 150 deny tcp any any eq 2065
access-list 150 deny tcp any any eq 2067
access-list 150 deny tcp any any range 1981 1983
!---
!--- Permit RSRB traffic from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1996
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any range 1987 1989
!---
!--- Deny RSRB traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 1996
access-list 150 deny tcp any any range 1987 1989
!---
!--- Permit PPTP traffic from trusted hosts allowed to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1723
!---
!--- Deny PPTP traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 1723
!---
!--- Permit RBP traffic from trusted hosts allowed to the RP.
!--- RBP will listen for TCP connections on the configured port
!--- as per "local port <port_number>". The following example
!--- uses port 1055
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1055
!---
!--- Deny RBP traffic from all other sources to the RP.
!---
access-list 150 deny tcp any any eq 1055
!---
!--- Permit XOT and X.25 Routing traffic from trusted hosts allowed
!--- to the RP.
!---
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK
any eq 1998
!---
!--- Deny XOT and X.25 Routing traffic from all other sources to
!--- the RP.
!---
access-list 150 deny tcp any any eq 1998
!--- Permit all other traffic to the RP.
!--- according to security policy and configurations.
access-list 150 permit ip any any
!--- Apply this access list to the 'receive' path.
ip receive access-list 150Control Plane Policing
Control Plane Policing (CoPP) は、影響を受けた機能の TCP トラフィックのアクセスをブロックするために使用することができます。CoPP 機能は Cisco IOS ソフトウェアリリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T にてサポートされています。CoPP を設定することにより、既知のセキュリティーポリシーとコンフィギュレーションに従って明示的に認定された トラフィックだけがインフラストラクチャデバイス宛にパケットを送信されることを許可され、インフラストラクチャデバイスへの直接攻撃のリスクとその効果を最小限に抑え、マネジメントコントロールプレーンを狙った攻撃からデバイスを保護することができます。以下の CoPP の例は、インフラストラクチャ IP アドレスの範囲の IP アドレスを持つ全てのデバイスを保護するために CoPP の一部として設定されるべきです。
!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: ALPS
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 350
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 10000
!---
!--- Permit ALPS traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 350
access-list 150 permit tcp any any eq 10000
!---
!--- Feature: STUN
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1994
access-list 150 deny tcp TRUSTED_HOSTS MASK
any range 1990 1992
!---
!--- Permit STUN traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 1994
access-list 150 permit tcp any any range 1990 1992
!---
!--- Feature: BSTUN
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1963
access-list 150 deny tcp TRUSTED_HOSTS MASK
any range 1976 1979
!---
!--- Permit BSTUN traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 1963
access-list 150 permit tcp any any range 1976 1979
!---
!--- Feature: NCIA
!---
!--- Leverage the underlying protocols, DLSw, RSRB, etc.
!---
!---
!--- Feature: DLSW
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 2065
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 2067
access-list 150 deny tcp TRUSTED_HOSTS MASK
any range 1981 1983
!---
!--- Permit DLSW traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 2065
access-list 150 permit tcp any any eq 2067
access-list 150 permit tcp any any range 1981 1983
!---
!--- Feature: RSRB
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK
any range 1987 1989
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1996
!---
!--- Permit RSRB traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any range 1987 1989
access-list 150 permit tcp any any eq 1996
!---
!--- Feature: PPTP
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1723
!---
!--- Permit PPTP traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 1723
!---
!--- Feature: RBP
!---
!--- RBP will listen for TCP connections on the configured port
!--- as per "local port <port_number>". The following example
!--- uses port 1055
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1055
!---
!--- Permit RBP traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 1055
!---
!--- Feature: XOT and X.25 Routing
!---
access-list 150 deny tcp TRUSTED_HOSTS MASK any eq 1998
!---
!--- Permit XOT and X25 traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so
!--- that it will be policed and dropped by the CoPP feature
!---
access-list 150 permit tcp any any eq 1998
!---
!--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and
!--- Layer4 traffic in accordance with existing security policies
!--- configurations for traffic that is authorized to be sent
!--- and to infrastructure devices
!--- Create a Class-Map for traffic to be policed by
!--- the CoPP feature
!---
class-map match-all drop-tcp-class
match access-group 150
!---
!--- Create a Policy-Map that will be applied to the
!--- Control-Plane of the device.
!---
policy-map drop-tcp-traffic
class drop-tcp-class
drop
!---
!--- Apply the Policy-Map to the
!--- Control-Plane of the device
!---
control-plane
service-policy input drop-tcp-traffic上記 CoPP の例では、不正利用パケットに一致する "permit" アクションに指定された ACL エントリは policy-map の "drop" 機能により破棄され、"deny" アクションに一致するパケットは policy-map の影響は受けません。 なお、policy-map の構文は Cisco IOS train 12.2S と 12.0S では異なることに注意してください:
policy-map drop-tcp-traffic class drop-tcp-class police 32000 1500 1500 conform-action drop exceed-action drop
設定に関する追加の情報および CoPP 機能の使用方法については次のドキュメント「Control Plane Policing Implementation Best Practices」および「Cisco IOS Software Releases 12.2 S - Control Plane Policing」を参照してください。http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html、http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html
ネットワーク中の Cisco デバイスで展開することができるこの脆弱性の緩和策は次のリンクの「Cisco Applied Mitigation Bulletin」から入手できます:http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080a904a2.html
修正済みソフトウェアの入手
Cisco はこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。 ソフトウェアの導入を行う前にお客様のメンテナンスプロバイダーにご相談いただくか、 ソフトウェアのフィーチャーセットの互換性および お客様のネットワーク環境に特有の問題に関してご確認下さい。
お客様がインストールしたり、サポートを受けたりできるのは、 ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、 アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載の Cisco のソフトウェア ライセンスの条項または、 Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" に お問い合わせいただくことはご遠慮ください。
サービス契約をお持ちのお客様
契約をお持ちのお客様は、通常のアップデート チャネルから アップグレード ソフトウェアを入手してください。 ほとんどのお客様は、Cisco のワールドワイドウェブサイト上の ソフトウェアセンターからアップグレードを入手することができます。 http://www.cisco.com
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、 サードパーティのサポート会社と以前に契約していたか、または現在契約しており、 その会社から Cisco製品の提供または保守を受けているお客様は、 該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。
回避策の効果は、使用製品、ネットワークトポロジー、トラフィックの性質や 組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、 回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、 お客様のサービスプロバイダーやサポート組織にご相談ください。サービス契約をご利用でないお客様
Cisco から直接購入したが Cisco のサービス契約をご利用いただいていない場合、 また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、 Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447 (北米内からのフリー ダイヤル)
- +1 408 526 7209 (北米以外からの有料通話)
- 電子メール: tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、 製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、 TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、 この他の TAC の連絡先情報については、 http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。不正利用事例と公式発表
Cisco PSIRTにおいて、現在本アドバイサリ内で記載されている脆弱性を悪用する事例や不正利用は確認されておりません。
この脆弱性は Ciscoの内部テストによって発見されました。この通知のステータス: FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また Cisco Systems はいつでも本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、 事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。
- cust-security-announce@cisco.com
- first-bulletins@lists.first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
このアドバイザリに関する今後の更新は、いかなるものも Cisco のワールドワイドウェブに掲載される予定です。 しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。 この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。
更新履歴
|
Revision 1.2 |
2009-July-06 |
Removed references to software availability dates. |
|
Revision 1.1 |
2009-June-26 |
Removed references to the March/09 combined fixed software table. |
|
Revision 1.0 |
2009-March-25 |
Initial public release |
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。