要約
該当製品
非該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: INTERIM
情報配信
更新履歴
シスコ セキュリティ手順
Cisco IOS が稼動しない他の弊社製 Voice 関連製品にも、本脆弱性の影響を受けるものが存在します。
本脆弱性を繰り返し利用することで、サービス妨害 (DoS) の状況を引き起こします。
本アドバイザリは以下にて確認可能です。
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml.
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先いたします。
IOS が稼働し H.323 パケットを処理するすべての弊社製品が本脆弱性の影響を受けます。SIP および MGCP を使用するように設定された製品についても、H.323 を有効にすることが可能であることから、それらの製品についても対象となります。Cisco IOS の "PLUS" フィーチャーセットに関しては、設定に関係なくデフォルトで H.323 が有効になっており、且つそれを無効にすることができないバグの影響より、脆弱である可能性があります。
その他の影響を受ける Cisco IOS ソフトウェア以外の製品は以下の通りです。Cisco CallManager バージョン 3.0 より 3.3
Cisco Conference Connection (CCC)
Cisco Internet Service Node (ISN)
Cisco BTS 10200 ソフトスイッチ
Cisco 7905 IP Phone H.323 ソフトウェアバージョン 1.00
バージョン 2.16.1 以前の H.323/SIP Load を導入した ATA18x シリーズ
注意: ATA18x シリーズの製品は、H.323 用に設定された場合のみ脆弱であり、SIP 用に設定された場合は脆弱では ありません。
シスコ製品において稼動しているソフトウェアを確認するには、装置にログインし、" show version" コマンドによりシステムバナーを表示させてください。Cisco IOS ソフトウェアの場合 "Internetwork Operating System Software" もしくは "IOS" と表示されます。次の出力ラインでは、括弧の間にイメージの名前、"Version" および IOS のリリース名が続きます。他のシスコ装置の場合 "show version" コマンドが存在しないか、違う出力結果が表示されます。Cisco Internetwork Operating System Software IOS (TM)
2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
次の例はイメージ名が C2600-JS-MZ で 12.0(2a)T1 の IOS リリースが稼動している装置です。
Cisco Internetwork Operating System Software IOS (tm)
C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOS バーションの名称に関する情報は以下の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html.
もしご利用の Cisco IOS が 10.x, 11.1, 11.2 またはそれ以前のバージョンの場合影響を受けません。
IOS は3つのエリアにおいて、不正 H.323 パケットに脆弱です。ご利用のルータが影響を受けるかどうかを確認するために、以下の項をお読みください。TAC CASE をオープンする場合は、迅速に問題解決するために推奨する以下の判別ステップの出力を採取して下さい。
注意:アクセスリストにより、ルータに流入する H.323 トラフィックを防ぐ方法を選択 した場合、ルータは本脆弱性に対して安全であり、下記の詳細確認は不要です。アクセスリストによる回避策を適用するためには「回避策」の項をご参照ください。シスコは、お客様の都合の良い出来るだけ早い時期に、適切な IOS にアップグレードされることをお勧めします。
H.323 トラフィックを処理する、あるいは脆弱性をもつ Cisco IOS 装置を確認するためには、後述する Cisco IOS における 3 つの異なる H.323 トラフィック処理を理解することが必要になります。
これは、H.323 ゲートウェイ、H.323 ゲートキーパー、及び H.323 プロキシ ゲートキーパー、そして設定に関係なくデフォルトで H.323 が有効になっているリリースも同様に含まれます。ご利用の製品が影響を受けるかどうか確定するために次のステップを続けてください。
Enable プロンプトから、show process cpu コマンドを実行し、プロセス名 CCH323_CT を検索してして下さい。 新しい Cisco IOS ソフトウェアでは、show process cpu | include CCH323 を実行して下さい。
Router# show process cpu | include CCH323 112 Mwe 60F3E5E0 295112 239401 123220072/24000 0 CCH323_CT
注意: "PLUS" フィーチャーセット (例:IP PLUS、ENTERPRISE PLUS) のみが、音声機能をサポートし、CCH323_CT プロセスが動作します。Cisco 2600 および 3600 プラットフォーム用の IOS 12.0 の "PLUS" フィーチャーセットでは CCH323_CT プロセスがデフォルトで実行されています。12.1 以降では、Voice カード又は DSP カードを実装している場合にのみ、そのプロセスはデフォルトで実行されます。
プロセス名 "CCH323_CT" が見つかった場合、ルータは影響を受けます。IOS 表を考慮し適切なアップグレードバージョンを決定してください。すぐに IOS をアップグレードできない場合、以下のワークアラウンドを採用してくださ い。
ネットワークで H.323 を使用していない場合、インバウンド アクセスリストで TCP 1720 ポートをブロックして下さい。しかし、出来るだけ早くアップグレードすることが推奨されます。
ネットワークで H.323 を使用している場合、アクセスリストを使用し、TCP 1720 ポートのトラフィックを既知の信頼できるホストからのみに制限してください。しかし、出来るだけ早くアップグレードすることが推奨されます。
プロセス名 "CCH323_CT" が見つからなかった場合、未だ脆弱である可能性があります。H.323 ゲートキーパーの設定によっては脆弱です。影響のある設定は、H.323 プロキシ用に設定されたゲートキーパーです。ゲートキーパーとして設定されているかを確認するには、グローバル設定の "proxy h323" の行をチェックしてください。
GK プロキシの機能を使用していない場合、以下の設定によりプロキシ機能を無効にできます。
注意: この設定はゲートキーパーで管理される全てのコールを切断します。安全にゲートキーパーの機能を停止でき るときに行って下さい。
Router(config)#no proxy h323 Router(config)#gatekeeper Router(config-gk)#shutdown Router(config-gk)#no shutdown
H.323 プロキシ機能を使用している場合、選択肢はアクセスリストにより、 TCP 1720 ポートのトラフィックを既知の信頼できる IP アドレスのみに制限するか、IOS をアップグレードするかの何れかです。
IOS デバイスが、IOS ファイアウォール(IOS FW または Context-Based Access Control [CBAC])として設定されている場合 show ip inspect all コマンドによりデバイス上で、IOS FW が動作しているか確認してください。以下のラインは、IOS FW がインタフェースに適用されていることを示します。このケースでは、検査ルール "<NAME>" が、インバウンドインタフェース FastEthernet0/0 に適用されています。
Interface Configuration
Interface FastEthernet0/0
Inbound inspection rule is <NAME>
tcp alert is on audit-trail is off timeout 3600
h323 alert is on audit-trail is off timeout 3600
Outgoing inspection rule is not set
インバウンドの IOS FW (CBAC) をインタフェース FastEthernet0/0 上で無効にするには、以下のコマンド を、インタフェース設定モードで入力してください。
Router#config t Router(config)#Interface FastEthernet 0/0 Router(config-if)#no ip inspect <NAME> in
アウトバウンド IOS FW (CBAC) が FastEthernet0/0 上で設定されている場合、以下のコマンドを、インタ フェース設定モードで入力してください。
Router#config t Router(config)#Interface FastEthernet 0/0 Router(config-if)#no ip inspect <NAME> out
他の IOS FW の機能に影響を与えずに H.323 メッセージの IOS FW (CBAC) 処理のみを無効にするには、以下のコマンドをグローバル設定モードで入力してください。
Router(config)#no ip inspect name <NAME> h323
シスコは出来るだけ早い時期に、IOS をアップグレードすることをお勧めします。
NAT の設定をし NAT を動作させているインタフェースがある場合、show ip nat statistics コマンドにより NAT が設定され、それが動作しているか確認します。
Router#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended Outside interfaces Inside interfaces Hits: 0 Misses: 0 Expired translations: 0 Dynamic mappings:
コマンドの出力がない場合、あるいは上述の出力のように "Outside interfaces" もしくは "Inside interfaces" に何も表示されない場合、IOS で NAT は動作しておらず本脆弱性の影響を受けません。.
以下の出力のように "Outside interfaces" もしくは "Inside interfaces" に表示がある場合、本脆弱性の影響を受ける可能性があります。
Total active translations: 3 (3 static, 0 dynamic; 0 extended
Outside interfaces:
Serial3/0
Inside interfaces:
Serial1/0
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
NAT の設定で Port Address Translation (PAT) のみが設定されている場合、PAT の設定の中で TCP port 1720 を明示的に指定していない限りは本脆弱性の影響を受けません。
PAT のみが動作しているか確認するためには、IOS NAT の設定に以下の NAT ルールに overload, route-map, もしくは extendable キーワードが含まれているかを確認します。
ip nat outside source ...
ip nat inside destination ...
ip nat inside source ...
上述の設定のいずれかに overload, route-map, もしくは extendable キーワードが含まれないものがある場合には本脆弱性の影響を受けます。
H.323 (TCP port 1720) のスタティック PAT が動作しているか確認するためには、以下のパターンの設定が含まれているか確認します。
ip nat (inside|outside) source static tcp ip-addr (port|1720) ip-addr (1720|port)
以下の設定例は本脆弱性の影響を受けます。
ip nat inside source static tcp 10.1.0.1 1720 10.2.0.1 5834
ip nat outside source static tcp 10.15.12.1 6884 10.6.7.1 1720
ip nat inside source static tcp 10.1.0.17 1720 10.33.14.1 1720
以下の設定例は本脆弱性の影響を受けません。
ip nat inside source static tcp 10.1.0.17 53 10.33.14.1 53
ip nat outside source static udp 10.1.14.75 1720 10.131.1.1 6888
本脆弱性の影響を受けることが確認された場合は、「回避策」の 項をご参照ください。
特定の Cisco IOS リリースに関しての脆弱性を判断するためには、以下に記述する「ソフトウェ アバーションおよび修正」の項を参考に、脆弱性の影響を受けるソフトウェアバージョンが稼働する製品に該当するかどうかをご判断ください。
下記に、本脆弱性に該当しない特定の製品を記載します。これらの製品は脆弱性そのものを有しない、もしくは H.323 処理をサポートしないため本脆弱性の影響を受けません。下記のリストに記載されていない製品については、本脆弱性が確認されていない、あるいは本脆弱性の 影響を受けないと判断された製品であり、記載製品以外に本脆弱性の影響を受ける製品は知られておりません。
Cisco IP Phone models 7960, 7940, 7912, 7910, 7902, 30VIP, and 12SP+
Cisco uOne (All Versions)
VG248 Analog Phone Gateway
Cisco Unity Server
Catalyst 6000 WS-X6608 Voice Services Module and WS-X6624 FXS Analog Station Interface Module
PGW2200, SC2200, VSC3000 and H.323 Signalling Interface (HSI)
Cisco IP/VC 3500 Series
IP/TV series
Catalyst 19xx, 28xx, 290x, 292x, 2948g, 3000, 3200, 3900, 4000, 4912g, and 5000 series switches
Catalyst 2900XL, 2900XL-LRE, 2940, 2950, 2950-LRE, 2955, 2970, 3500XL, 3550, and 3750 series switches
Cache Engine series
Content Engine series
SN5400 series storage routers
VPN 3000 and VPN 5000 series VPN concentrators
Voice Interworking Service Module (VISM)
VCO/4K
Cisco Secure Intrusion Detection System (NetRanger) appliance and IDS Module
BR340, WGB340, AP340, AP350, and BR350 Cisco/Aironet wireless products
Cisco Aironet 1100 series, 1200 series, and 1400 series wireless products
Cisco PIX Firewall
Cisco Catalyst 6500 Series Firewall Services Module
Cisco 6xx series DSL modems running CBOS
Cisco 7xx series routers
Cisco 12000 series routers
Cisco 10000 series routers
61xx and 62xx series DSLAMs
Cisco CSS11xxx series (including SSL Accelerator)
LocalDirector
BPX, IGX, MGX WAN switches, and the Service Expansion Shelf
Cisco Intelligent Contact Management (ICM)
Cisco ONS 15xxx platforms
Cisco IOS
Cisco IOS ソフトウェア |
脆弱性の説明 |
---|---|
11.1, 11.2, 11.3, 12.3 |
本脆弱性の影響を受けません。 |
11.3T, 12.0, 12.0S,12.0T, 12.1, 12.1T, 12.1E, 12.2, 12.2S, 12.2T |
H.323 ネットワーク構成要素のトラフィック処理時に脆弱性が存在します。H.323 ゲートウェイ、H.323 ゲートキーパー、Proxy 機能を有効にした H.323 ゲートキーパーが含まれます。 |
12.1, 12.1E, 12.2, 12.2T, 12.2S, 12.3T |
IOS による H.323 NAT トラフィック処理時に脆弱性が存在します。 |
12.0, 12.1, 12.1E, 12.2, 12..2T, 12.2S |
H.323 IOS ファイアウォール (CBAC) トラフィック処理時に脆弱性が存在します。 |
H.323 Dial-peer エンドポイントとして動作する Cisco IOS の脆弱性は、以下のバグ ID
の中で記述されています。
CSCdt09262, CSCdt54401, CSCdw14262, CSCdx76632, CSCdx77253, CSCea19885, CSCea32240,
CSCea36231 , CSCea33065, CSCea42826, CSCea42527, CSCea44227, CSCea44309, CSCea46342, CSCec79541
H.323 ゲートキーパー プロキシとして動作する Cisco IOS の脆弱性は、以下のバグ ID
の中で記述されています。
CSCea51076, CSCea51030, CSCea54851
H.323 v3/4 トラフィックの NAT 変換を行っている Cisco IOS 装置は脆弱性を持つ可能性があります。
IOS 12.2T に基づくリリースは IOS 12.2(11)T 以降の IOS で動作していなければならず、隠しコマンド ip nat service h323all が有効になっていなければなりません。このコマンドのデフォルトは disable です。
12.1 と 12.1E に基づくリリースでは、NAT の外部インタフェースから内部インタフェースへ送られるパケットのみに対して脆弱性があります。
これはスタティックアドレス変換が設定され、ポート 1720 への接続を許可した場合にのみネットワークが脆弱性をもつことを意味します。
ポート 1720 においてダイナミックアドレス変換が行なわれる場合がありますが、攻撃トラフィックは元のフローの宛先アドレスから返されなければならず、アドレス変換が 動作している間にルータを横断しなければなりません。
ダイナミックアドレス変換の危険性を低減する方法については「回避策」の項に記載します。
H.323 NAT として動作する 12.1 以降の Cisco IOS の脆弱性は、以下のバグ ID の中で
記述されています。
CSCdr48143, CSCdx40184, CSCea27536, CSCec76694, CSCed28873
IOS ファイアウォールフィーチャセットが稼動し H.323 パケットの中身を解析する 12.1 以降の Cisco IOS の脆弱性は、以下のバグ ID の中で記述されています。
CSCec76776, CSCec87533
Cisco CallManager
Cisco CallManager における脆弱性は、次のバグ ID にて記述されています。
CSCdx82831, CSCea46545, CSCea55518
Cisco Conference Connection
すべてのバージョンの Cisco Conference Connection (CCC) には脆弱性が存在します。現時点では、修正ソフトウェアが予定されていません。CCC を現在使用されているお客様は、信頼されたホスト (Trusted Hosts) のみからの H.323 トラフィックに制限ください。
「回避策」の項を参照ください。
Cisco Internet Service Node
すべてのバージョンの Internet Service Node (ISN) には脆弱性が存在します。現時点では、修正ソフトウェアが予定されていません。ISN を現在使用されているお客様は、信頼されたホスト (Trusted Hosts) のみからの H.323 トラフィックに制限ください。
「回避策」の項を参照ください。
Cisco 7905 Series IP Phone
Cisco7905 IP Phone における脆弱性は、次のバグ ID にて記述されています。
CSCec77152
Cisco ATA18x Series Analog Telephony Devices
Cisco ATA18x 装置における脆弱性は、次のバグ ID にて記述されています。
CSCea46231, CSCea48726
Cisco BTS 10200 Softswitch
Cisco BTS 10200 Softswitch における脆弱性は、次のバグ ID にて記述されています。
CSCea48755
本脆弱性はサービス妨害 (DoS) に利用される可能性があります。本脆弱性が悪用された場合には、影響を受ける製品はクラッシュによる再起動を引き起こす可能性があります。 Cisco CallManager, ISN および CCC の場合、クラッシュ または プロセッサの使用率が 100% となりハング状態に陥ります。サーバー・ベースのプラットホームで CPU 利用率が 100% になった場合、呼処理サービスが著しく低下し、呼が欠落したり新規に呼が設定でき
なくなります。正常なサービス状態に回復させるためには、装置のリブートが必要になります。
Cisco IOS ソフトウェア
下記の表中の各列は、対象となるリリーストレインとプラットフォーム、あるいは製品を表しています。もし、あるリリーストレインが脆弱である場合、最も早 く利用可能な修正済みリリースと利用可能予定日付が、それぞれ "Rebuild", "Interim", "Maintenance" 欄に記載されています。ある特定のリリースでは Rebuild リリースが計画されない場合もあり、これは "Not scheduled" と記されています。Maintenance
もっとも厳密に試験されており、下記表の列のいずれのラベルのリリースにおいて高く推奨されます。
Rebuild
同じトレイン内で、一つ前の Maintenance またはメジャーリリースから構築されたもので、ある特定の問題の修正を含むものです。試験項目は少なくなっていますが、修正に必要なごく少ない変更のみを 含んだものです。シスコはこの脆弱性に対処するために、メインライン トレインでいくつかの Rebuild を用意していますが、メインライン トレインの最新の Maintenance リリースのみを使用することを強く推奨します。
Interim
Maintenance リリース間に定期的に構築され、試験項目は少なくなっています。 Interim は脆弱性に対処した適切なリリースが存在しない場合に選択されるべきで、 Interim イメージを使用した場合には、次の Maintenance リリース後に迅速にアップグレードされなければなりません。Interim リリースは通常経路からの入手は不可能で、事前に Cisco Technical Assistance Center (TAC) に手配を行わない限り、お客様が CCO からダウンロードすることはできません。
全てのケースで、お客様がアップグレードする装置に十分なメモリが実装されているか、現在のハードウェア、ソフトウェア設定が新しいリリースにおい ても適切にサポートし続けられているかについて、十分な注意を払う必要があります。情報が明らかでない場合は、本項の表の次に記載されている Cisco TAC までお問い合わせください。
注意:下記の表において、"Element" の欄は H.323 エンドポイントおよび H.323 ゲートキーパープロキシとして動作す る IOS 装置の修正を含みます。
Train |
Vulnerable Configuration |
Availability of Fixed Releases |
||
---|---|---|---|---|
10.x-based Releases |
Not Vulnerable |
|||
11.x-based Releases |
Rebuild |
Interim |
Maintenance |
|
11.0 |
Not Vulnerable |
|||
11.1 |
Not Vulnerable |
|||
11.1AA |
Not Vulnerable |
|||
11.1CA |
Not Vulnerable |
|||
11.1CC |
Not Vulnerable |
|||
11.2 |
Not Vulnerable |
|||
11.2P |
Not Vulnerable |
|||
11.2SA |
Not Vulnerable |
|||
11.3 |
Not Vulnerable |
|||
11.3T |
Introduced H.323 feature in 11.3(3)T Vulnerable No Software Fixes Scheduled Migrate to 12.0 |
|||
12.0-based Releases |
Rebuild |
Interim |
Maintenance |
|
12.0 |
Element |
12.0(27) |
||
NAT |
Not Vulnerable |
|||
IPFW |
12.0(28) |
|||
12.0D |
Not Vulnerable |
|||
12.0DA |
Not Vulnerable |
|||
12.0DC |
Not Vulnerable |
|||
12.0S |
Element |
2600/3600 Platforms ONLY 12.0(25)S1, 12.0(24)S2, 12.0(23)S3 |
2600/3600 Platforms ONLY 12.0(26)S |
|
NAT |
Not Vulnerable |
|||
IPFW |
Not Vulnerable |
|||
12.0SC |
Not Vulnerable |
|||
12.0SL |
Not Vulnerable |
|||
12.0SP |
Not Vulnerable |
|||
12.0ST |
No fixes planned, only 2600/3600 platforms vulnerable |
|||
12.0SX |
Not Vulnerable |
|||
12.0SY |
Not Vulnerable |
|||
12.0SZ |
Not Vulnerable |
|||
12.0T |
Vulnerable. No fixes planned. |
|||
12.0W5 |
Not Vulnerable |
|||
12.0WC |
Not Vulnerable |
|||
12.0WT |
Not Vulnerable |
|||
12.0XC |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XD |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XG |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XH |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XI |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XJ |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XK |
Vulnerable. Migrate to 12.2(19)b |
|||
12.0XL |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XN |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XQ |
Vulnerable. Migrate to 12.1(22) |
|||
12.0XR |
Vulnerable. Migrate to 12.2(19)b |
|||
12.0XT |
Vulnerable. No migration path |
|||
12.1-based Releases |
Rebuild |
Interim |
Maintenance |
|
12.1 |
Element |
12.1(22) |
||
NAT |
12.1(22) |
|||
IPFW |
12.1(22) |
|||
12.1AA |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1AX |
Not Vulnerable |
|||
12.1AY |
Not Vulnerable |
|||
12.1DA |
Not Vulnerable |
|||
12.1DB |
Not Vulnerable |
|||
12.1DC |
Not Vulnerable |
|||
12.1E |
Element |
12.1(20)E2 |
||
NAT |
12.1(13)E13, 12.1(20)E2 12.1(8b)E18, 12.1(11b)E14, 12.1(14)E10, 12.1(19)E6 - available by 16-Jan-2004 |
|||
IPFW |
12.1(8b)E16, 12.1(11b)E14, 12.1(13)E12, 12.1(14)E9, 12.1(19)E6, 12.1(20)E2 |
|||
12.1EA |
Not Vulnerable |
|||
12.1EB |
Not Vulnerable |
|||
12.1EC |
Vulnerable No migration path No fixed release |
|||
12.1EV |
Not Vulnerable |
|||
12.1EW |
Not Vulnerable |
|||
12.1EX |
Not Vulnerable |
|||
12.1EY |
Not Vulnerable |
|||
12.1EZ |
Vulnerable Not yet migrated No rebuild planned |
|||
12.1T |
Element |
12.1(5)T17 |
Migrate to 12.2(19)b |
|
NAT |
12.1(5)T17 |
Migrate to 12.2(19)b |
||
IPFW |
12.1(5)T17 |
Migrate to 12.2(19)b |
||
12.1X(l) |
12.1X releases generally migrate to 12.1T, 12.2 or 12.2T as specified below. Please refer to specific train technical notes for documented migration path. |
|||
12.1XA |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1XB |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XC |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1XD |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1XF |
Not Vulnerable |
|||
12.1XG |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XH |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1XI |
Vulnerable. Migrate to 12.2(19)b |
|||
12.1XJ |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XL |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XM |
Vulnerable. Migrate to 12.2(2)XB15 |
|||
12.1XP |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XQ |
Vulnerable. Migrate to 12.2(2)XB15 |
|||
12.1XR |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XT |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1XU |
Vulnerable. Migrate to 12.2(4)T6 |
|||
12.1XV |
Vulnerable. Migrate to 12.2(2)XB15 |
|||
12.1XW |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YB |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YC |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YD |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YE |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YF |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YH |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YI |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.1YJ |
Not Vulnerable |
|||
12.2-based Releases |
Rebuild |
Interim |
Maintenance |
|
12.2 |
Element |
12.2(10g), 12.2(13c), 12.2(16a) |
12.2(17) |
|
NAT |
12.2(19b) 12.2(21a) 12.2(10g), 12.2(13e), 12.2(16f), 12.2(17d) - available by 16-Jan-2004 |
|||
IPFW |
Not Vulnerable |
|||
12.2B |
Migrate to 12.3(4)T |
|||
12.2BC |
Not Vulnerable |
|||
12.2BW |
Migrate to 12.2(15)T5 |
Migrate to 12.3(3e) |
||
12.2BX |
Vulnerable No migration path |
|||
12.2BZ |
Not Vulnerable |
|||
12.2CX |
Not Vulnerable |
|||
12.2CY |
Not Vulnerable |
|||
12.2DA |
Not Vulnerable |
|||
12.2DD |
Vulnerable. Migrate to 12.3(3e) |
|||
12.2DX |
Vulnerable. Migrate to 12.3(3e) |
|||
12.2JA |
Not Vulnerable |
|||
12.2MB |
Not Vulnerable |
|||
12.2MC |
Vulnerable No planned release |
|||
12.2MX |
Vulnerable. Migrate to 12.3(4)T1 |
|||
12.2S |
Element |
12.2(14)S3 |
12.2(18)S |
|
NAT |
12.2(14)S7 available Feb-23-2004 12.2(18)S3 available Jan-19-2004 |
|||
IPFW |
Not Vulnerable |
|||
12.2SX |
Element |
12.2(17a)SXA |
||
NAT |
12.2(17a)SXA |
|||
IPFW |
TBD |
|||
12.2SY |
12.2(14)SY3 |
|||
12.2SZ |
Not Vulnerable |
|||
12.2T |
Element |
12.2(4)T6, 12.2(8)T10, 12.2(11)T9, 12.2(13)T5, 12.2(15)T2 |
No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release. |
|
NAT |
12.2(4)T6, 12.2(8)T10, 12.2(11)T8, 12.2(13)T3, 12.2(15)T5 |
No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release. |
||
IPFW |
12.2(4)T8 |
No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release. |
||
12.2XA |
Vulnerable. Migrate to 12.2(11)T9 |
|||
12.2XB |
Element |
12.2(2)XB14 |
||
NAT |
12.2(2)XB14 |
|||
IPFW |
12.2(2)XB15 |
|||
12.2XC |
Vulnerable. Migrate to 12.3(3e) |
|||
12.2XD |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XE |
Not Vulnerable |
|||
12.2XF |
Not Vulnerable |
|||
12.2XG |
Vulnerable. Migrate to 12.2(8)T10 |
|||
12.2XH |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XI |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XJ |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XK |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XL |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XM |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XN |
Vulnerable. Migrate to 12.2(11)T9 |
|||
12.2XQ |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XS |
Vulnerable. Migrate to 12.2(2)XB15 |
|||
12.2XT |
Vulnerable. Migrate to 12.2(11)T9 |
|||
12.2XU |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2XW |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YA |
Element |
12.2(4)YA7 |
||
NAT |
Not Vulnerable |
|||
IPFW |
12.2(4)YA8 |
|||
12.2YB |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YC |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YD |
Vulnerable. Migrate to 12.3(2)T3 |
|||
12.2YE |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YF |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YG |
Not Vulnerable |
|||
12.2YH |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YJ |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YK |
Vulnerable. Migrate to 12.2(13)ZC |
|||
12.2YL |
Vulnerable. Migrate to 12.3(2)T3 |
|||
12.2YM |
Vulnerable. Migrate to 12.3(2)T3 |
|||
12.2YN |
Vulnerable. Migrate to 12.3(2)T3 |
|||
12.2YO |
Not Vulnerable |
|||
12.2YP |
Not Vulnerable |
|||
12.2YQ |
Not Vulnerable |
|||
12.2YR |
Not Vulnerable |
|||
12.2YS |
Not Vulnerable |
|||
12.2YT |
Vulnerable. Migrate to 12.2(15)T5 |
|||
12.2YU |
Vulnerable. Migrate to 12.3(4)T1 |
|||
12.2YV |
Vulnerable. Migrate to 12.3(4)T1 |
|||
12.2YW |
Element |
12.2(8)YW3 |
||
NAT |
12.2(8)YW3 |
|||
IPFW |
Not Vulnerable |
|||
12.2YX |
Migrate to 12.2(S) Release 3 or migrate to 12.2(14)SU March-2004 |
|||
12.2YY |
Vulnerable Migrate to 12.3(2)T3 |
|||
12.2YZ |
Vulnerable. Rebuilds available upon request. |
|||
12.2ZA |
Not Vulnerable |
|||
12.2ZB |
Vulnerable Migrate to 12.3(2)T3 |
|||
12.2ZC |
Vulnerable Not yet planned |
|||
12.2ZD |
Vulnerable No Migration path No planned fix |
|||
12.2ZE |
Vulnerable. Migrate to 12.3(3e) |
|||
12.2ZF |
Vulnerable. Migrate to 12.2(15)SL1 |
|||
12.2ZG |
Vulnerable No Migration path No planned fix |
|||
12.2ZH |
Element |
12.2(13)ZH3 |
||
NAT |
||||
IPFW |
Not Vulnerable |
|||
12.2ZJ |
Element |
12.2(15)ZJ3 |
||
NAT |
12.2(15)ZJ2 |
|||
IPFW |
Not Vulnerable |
|||
12.2ZL |
Element |
12.2(15)ZL1 |
||
NAT |
||||
IPFW |
Not Vulnerable |
|||
12.2ZM |
Not Vulnerable |
|||
12.2ZP |
Not Vulnerable |
|||
12.3-based Releases |
Rebuild |
Interim |
Maintenance |
|
12.3 |
Not Vulnerable |
|||
12.3T |
Element |
Not Vulnerable to H.323 endpoint/gateway/gatekeeper issues |
||
NAT |
12.3(2)T3 12.3(4)T1 |
|||
IPFW |
Not Vulnerable to IOS FW issue |
全てのケースで、お客様がアップグレードする装置に十分なメモリが実装されているか、現在のハードウェア、ソフトウェア設定が新しいリリースにおい ても適切にサポートし続けられているかについて、十分な注意を払う必要があります。情報が明らかでない場合は「修正ソ フトウェアの入手」の項に記載の Cisco TAC までお問い合わせください。
Cisco CallManager Version |
First Fixed Regular Release |
---|---|
3.1 |
3.1(4b)spD |
3.2 |
3.2(3) |
3.3 |
3.3(2)spC 3.3(3) |
現在のところ Cisco Conference Connection (CCC) に対するソフトウェアの修正は予定されておりません。CCC をご利用のお客様は、H.323 のトラフィックを信頼できるホストからのみに制限する回避策を実施する必要があります。
詳細については、「回避策」の項を参照してください。
現在のところ Cisco Internet Service Node (ISN) に対するソフトウェアの修正は予定されておりません。ISN をご利用のお客様は、H.323 のトラフィックを信頼できるホストからのみに制限する回避策を実施する必要があります。
詳細については、「回避策」の項を参照してください。
これらの不具合は、7905 H.323 phone ファームウェア・ロードのバージョン 1.0(1) にて修正されています。修正を含むバージョン 1.0(1) のイメージ名は、Signed feature イメージについては cp790501001h323031212a.sbin、Unsigned feature イメージについては cp790501001h323031212a.zup となります。
これらの不具合は、ソフトウェアバージョン 2.16.1 で修正されています。
Cisco BTS 10200 はソフトウェアバージョン 4.1 にて修正されています。 BTS 10200 をご利用のお客様は、以下の 「修正ソフトウェアの入手」の項の指示に従い、TAC と連絡をとり修正ソフトウェアを入手してください。
契約を有するお客様は通常の経路でアップグレードのためのソフトウェアを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイ ト上のソフトウェアセンターから入手することができます。
http://www.cisco.com/tacpage/sw-center/
+1 800 553 2447 (北米内からフリーダイヤル)
+1 408 526 7209 (北米以外からの有料通話)
e-mail: tac@cisco.com
様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスなど、その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml
無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を提示してください。契約がないお客様の無償アップグレードは TAC を通して要求してください。
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
H.323 エンドポイントとプロキシーへの回避策
H.323 が動作している装置には脆弱性があり、それを防ぐための特別な設定は存在しません。しかしながら、H.323 トラフィックを許可しないインターフェースにアクセスリストを適用することや、有効なロケーションにファイアウォールを設置することは、アップグレードが 実施されるまでの間、攻撃の脅威にさらされる可能性を大きく低減することが可能となります。許可されたネットワーク以外で、H.323 管理トラフィックをブロックすることが可能なアクセスリストの例を下記に示します。この例では、ネットワーク 172.16.0.0/16 を許可してい ます。
!--- ネットワーク 172.16.0.0/16 内のすべての IP アドレスから、あらゆる IP
!--- アドレスの TCP ポート 1720 番へのアクセスを許可 access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq 1720 !--- あらゆる IP アドレスから、ネットワーク 172.16.0.0/16 内のホストの TCP
!--- ポート 1720 番へのアクセスを許可
access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 1720
!--- TCP ポート1720 番からのあらゆるトラフィックを拒否 access-list 101 deny tcp any eq 1720 any !--- TCP ポート1720 番へのあらゆるトラフィックを拒否 access-list 101 deny tcp any any eq 1720 !--- その他のトラフィックを許可 access-list 101 permit ip any any
H.323 トラフィックで NAT が動作する IOS 機器への回避策
問題のあるバージョン 12.1 または 12.1E にて動作する Cisco IOS 装置においてスタティック NAT が設定されている場合、NAT 処理により当該装置を通過しようとする不正なパケットを使用したアタックに対して脆弱性があります。
このような状況において、危険性を低減したり除去する方法が幾つかあります。
外部インターフェースへのアクセスリスト
送信元または宛先のポート番号が 1720 であるパケットにのみ、H.323 パケットの中身を解析します。これらのパケットのアドレス変換や許可が必要でないならば、ファイアウォールのような外部装置を用いて、または NAT が動作する装置の外部インターフェースにインプット アクセスリストを適用することにより、これらのパケットをブロックします。
interface serial 0/0
ip nat outside
!--- どのインターフェースでアクセスリストの設定を適用するか判定する
ip access-group 101 in
!
access-list 101 deny tcp any eq 1720 any
access-list 101 deny tcp any any eq 1720
access-list 101 permit ip any any
スタティック NAT で ポート 1720 番のトラフィックをブロックするポリシーベースルーティング
簡単なスタティック アドレス変換は、あらゆるポートでトラフィックを通過させてしまいます。スタティック NAT の設定で H.323 トラフィックを許可する必要が無く、外部インターフェースにアクセスリストを適用することが現実的でない場合は、ポリシーベースルーティングを用い、ポー ト 1720 宛のトラフィックを迂回 (Null インターフェースにて廃棄)させます。 ポリシーベース ルーティングは NAT 処理が行われる前に動作します。interface Null0
no ip unreachables
!
interface Ethernet0/0
ip address 10.0.0.8 255.255.255.0
ip nat inside
!
interface Ethernet0/1
ip address 11.0.0.8 255.255.255.0
ip nat outside
ip policy route-map block-h323
ip nat inside source static 10.0.0.5 1.0.0.5
access-list 102 permit tcp any host 1.0.0.5 eq 1720
access-list 102 permit tcp any eq 1720 host 1.0.0.5
route-map block-h323 permit 10
match ip address 102
set interface Null0
ダイナミックアドレス変換を使用したポート 1720 のブロッキング
ダイナミックアドレス変換の場合、NAT 変換によって開けられた穴を通した元のフローの外部アドレスからの攻撃に対して脆弱性を示すことがありますが、ip nat translation port-timeout tcp 1720 2 コマンドを使用することにより早急に変換時間のタイムアウトを発生させ、攻撃を受ける危険性を低減することが可能です。上記コマンドの例ではポート 1720 使用時の変換時間を 2 秒でタイムアウトさせますが、正常呼処理時に必要な呼設定要求が処理されるには短すぎるかもしれません。
アクセスリストの代わりにルートマップを使用することにより、発信元または宛先ポート番号 1720 のトラフィックが NAT 変換されないよう設定することができます。下記のサンプルコンフィグレーションでは、送信元ネットワーク 10.0.0.0/24 からのトラフィックが、発信元または宛先ポート 1720 に関するものを除き、アドレス変換プール "h323-test" で定義したアドレスにダイナミックに変換されることを許可します。
注意: この設定では、NetMeeting のような PC 上で動作する H.323 アプリケーションに対し、NAT を使用することができなくなります。このような回避策を適用する場合、ネットワークにおいてこの類のアプリケーションが使用されているかどうかを把握する ことは非常に重要です。
interface Ethernet0/0
ip address 10.0.0.8 255.255.255.0
ip nat inside
!
interface Ethernet0/1
ip address 11.0.0.8 255.255.255.0
ip nat outside
ip nat pool h323-test 1.0.0.5 1.0.0.15 prefix-length 24
ip nat inside source route-map h323-block pool h323-test
access-list 101 deny tcp any any eq 1720
access-list 101 deny tcp any eq 1720 any
access-list 101 permit ip host 10.0.0.0 0.0.0.255
route-map h323-block permit 10
match ip address 101
ローカルに信頼されたホスト (trusted hosts) からの H.323 トラフィックのみに制限をかけるための Windows ベースのアクセスコントロールリストの定義
マイクロソフト Windows 2000 ベースのサーバーに対してアクセス制御の設定を組みこむIPSec-H323.exe という名称の実行可能ファイルは以下にございます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2
本回避策で "Cisco Conference Connection" と "Internet Service Node" に悪影響がある可能性のある H.323 パケットを遮断できることを検証済みです。
スクリプトの詳細につきましては上述の URL より入手可能になっております。
IPSec-H323-Readme.htm ファイルをご確認ください。
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml.
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されてい ます。
cust-security-announce@cisco.com
bugtraq@securityfocus.com
full-disclosure@lists.netsys.com
vulnwatch@vulnwatch.org
first-teams@first.org (includes CERT/CC)
cisco@spot.colorado.edu
cisco-nsp@puck.nether.net
comp.dcom.sys.cisco
Various internal Cisco mailing lists
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもし くはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めい たします。
Revision 1.3 | 2004-January-16 | 「該当製品」の項: "show process cpu" コマンドの構文を更新。 |
Revision 1.2 |
2004-January-15 |
「要約」 と 「該当製品」の項: 該当製品の性質を明確化。 「Cisco IOS Software」の表: 12.2XB、12.0、12.1、12.2B、12.2S、ならびに 12.1E の箇所を更新。 「回避策」の項: IPSec-H323.exe へのリンクを更新。 |
Revision 1.1 |
2004-January-14 |
「該当製品」の項: 「Cisco AS5xxx シリーズプラットフォーム」 を「IOS "PLUS" フィーチャーセット」に変更。 12.2XB、12.1E、12.2 ならびに 12.0 の箇所を更新。 「回避策」の項: 「ローカルに信頼されたホスト (trusted hosts) からの H.323 トラフィックのみに制限をかけるための Windows ベースのアクセスコントロールリストの定義」の箇所を更新。 "UNIRAS" を "NISCC Vulnerability Management Team" に変更。 |
Revision 1.0 |
2004-January-13 |
初版 |
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法につい て詳しく知るには、シスコワールドワイドウェブサイトの http://www.cisco.com/warp/public/707/sec_incident_response.shtml にアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリ ティアドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。