Cisco Security Advisory: H.323 メッセージ処理における脆弱性

ダウンロード オプション

  • PDF     (373.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (69.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (116.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2004 年 1 月 16 日

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

Revision 1.3 - INTERIM

Last Updated 2004 January 16 UTC 2000
For Public Release 2004 January 13 UTC 1200

目次

要約
該当製品
非該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: INTERIM
情報配信
更新履歴
シスコ セキュリティ手順

要約

標準的な VoIP あるいはマルチメディア アプリケーションに利用される H.323 メッセージ処理に関連し、複数の弊社製品において脆弱性の問題が存在します。Oulu 大学開発の H.323 プロトコルを対象とするテストスイートにより、本脆弱性が確認されています。

H.323 プロトコルのサポートは Cisco IOS ソフトウェアリリース 11.3T にて導入されました。リリース 11.3T 以降のバージョンにおいて、様々なタイプの音声・マルチメディア アプリケーションがサポートされている場合は、本脆弱性の影響を受けることがあります。脆弱性を有するデバイスには、ネットワーク構成要素として H.323 のソフトウェアをサポートするものの他、IOS NAT や IOS ファイアウォール(CBAC)の設定が施されたものが含まれます。

Cisco IOS が稼動しない他の弊社製 Voice 関連製品にも、本脆弱性の影響を受けるものが存在します。

本脆弱性を繰り返し利用することで、サービス妨害 (DoS) の状況を引き起こします。

本アドバイザリは以下にて確認可能です。

http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml.

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先いたします。

該当製品

IOS が稼働し H.323 パケットを処理するすべての弊社製品が本脆弱性の影響を受けます。SIP および MGCP を使用するように設定された製品についても、H.323 を有効にすることが可能であることから、それらの製品についても対象となります。Cisco IOS の "PLUS" フィーチャーセットに関しては、設定に関係なくデフォルトで H.323 が有効になっており、且つそれを無効にすることができないバグの影響より、脆弱である可能性があります。

その他の影響を受ける Cisco IOS ソフトウェア以外の製品は以下の通りです。

  • Cisco CallManager バージョン 3.0 より 3.3

  • Cisco Conference Connection (CCC)

  • Cisco Internet Service Node (ISN)

  • Cisco BTS 10200 ソフトスイッチ

  • Cisco 7905 IP Phone H.323 ソフトウェアバージョン 1.00

  • バージョン 2.16.1 以前の H.323/SIP Load を導入した ATA18x シリーズ

注意: ATA18x シリーズの製品は、H.323 用に設定された場合のみ脆弱であり、SIP 用に設定された場合は脆弱では ありません。

シスコ製品において稼動しているソフトウェアを確認するには、装置にログインし、" show version" コマンドによりシステムバナーを表示させてください。Cisco IOS ソフトウェアの場合 "Internetwork Operating System Software" もしくは "IOS" と表示されます。次の出力ラインでは、括弧の間にイメージの名前、"Version" および IOS のリリース名が続きます。他のシスコ装置の場合 "show version" コマンドが存在しないか、違う出力結果が表示されます。

以下の例はイメージ名 C2500-IS-L がインストールされ、IOS リリース 12.0(3) が稼動しているシスコ製品を表しています。リリーストレインラベルは "12.0" です。 
Cisco Internetwork Operating System Software IOS (TM)
2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE

次の例はイメージ名が C2600-JS-MZ で 12.0(2a)T1 の IOS リリースが稼動している装置です。

Cisco Internetwork Operating System Software IOS (tm)
C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)

Cisco IOS バーションの名称に関する情報は以下の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html.

もしご利用の Cisco IOS が 10.x, 11.1, 11.2 またはそれ以前のバージョンの場合影響を受けません。

H.323 のトラフィックを処理する Cisco IOS

IOS は3つのエリアにおいて、不正 H.323 パケットに脆弱です。ご利用のルータが影響を受けるかどうかを確認するために、以下の項をお読みください。TAC CASE をオープンする場合は、迅速に問題解決するために推奨する以下の判別ステップの出力を採取して下さい。

注意:アクセスリストにより、ルータに流入する H.323 トラフィックを防ぐ方法を選択 した場合、ルータは本脆弱性に対して安全であり、下記の詳細確認は不要です。アクセスリストによる回避策を適用するためには「回避策」の項をご参照ください。シスコは、お客様の都合の良い出来るだけ早い時期に、適切な IOS にアップグレードされることをお勧めします。

H.323 トラフィックを処理する、あるいは脆弱性をもつ Cisco IOS 装置を確認するためには、後述する Cisco IOS における 3 つの異なる H.323 トラフィック処理を理解することが必要になります。

1. H.323 エンドポイント

これは、H.323 ゲートウェイ、H.323 ゲートキーパー、及び H.323 プロキシ ゲートキーパー、そして設定に関係なくデフォルトで H.323 が有効になっているリリースも同様に含まれます。ご利用の製品が影響を受けるかどうか確定するために次のステップを続けてください。

Enable プロンプトから、show process cpu コマンドを実行し、プロセス名 CCH323_CT を検索してして下さい。 新しい Cisco IOS ソフトウェアでは、show process cpu | include CCH323 を実行して下さい。

Router# show process cpu | include CCH323

    112 Mwe 60F3E5E0       295112     239401    123220072/24000  0 CCH323_CT

注意: "PLUS" フィーチャーセット (例:IP PLUS、ENTERPRISE PLUS) のみが、音声機能をサポートし、CCH323_CT プロセスが動作します。Cisco 2600 および 3600 プラットフォーム用の IOS 12.0 の "PLUS" フィーチャーセットでは CCH323_CT プロセスがデフォルトで実行されています。12.1 以降では、Voice カード又は DSP カードを実装している場合にのみ、そのプロセスはデフォルトで実行されます。

  • プロセス名 "CCH323_CT" が見つかった場合、ルータは影響を受けます。IOS 表を考慮し適切なアップグレードバージョンを決定してください。すぐに IOS をアップグレードできない場合、以下のワークアラウンドを採用してくださ い。

    • ネットワークで H.323 を使用していない場合、インバウンド アクセスリストで TCP 1720 ポートをブロックして下さい。しかし、出来るだけ早くアップグレードすることが推奨されます。

    • ネットワークで H.323 を使用している場合、アクセスリストを使用し、TCP 1720 ポートのトラフィックを既知の信頼できるホストからのみに制限してください。しかし、出来るだけ早くアップグレードすることが推奨されます。

  • プロセス名 "CCH323_CT" が見つからなかった場合、未だ脆弱である可能性があります。H.323 ゲートキーパーの設定によっては脆弱です。影響のある設定は、H.323 プロキシ用に設定されたゲートキーパーです。ゲートキーパーとして設定されているかを確認するには、グローバル設定の "proxy h323" の行をチェックしてください。

    • GK プロキシの機能を使用していない場合、以下の設定によりプロキシ機能を無効にできます。

      注意: この設定はゲートキーパーで管理される全てのコールを切断します。安全にゲートキーパーの機能を停止でき るときに行って下さい。

      Router(config)#no proxy h323

   Router(config)#gatekeeper

   Router(config-gk)#shutdown

   Router(config-gk)#no shutdown

    • H.323 プロキシ機能を使用している場合、選択肢はアクセスリストにより、 TCP 1720 ポートのトラフィックを既知の信頼できる IP アドレスのみに制限するか、IOS をアップグレードするかの何れかです。

2. IOS ファイウォール(Context-Based Access Control)

IOS デバイスが、IOS ファイアウォール(IOS FW または Context-Based Access Control [CBAC])として設定されている場合 show ip inspect all コマンドによりデバイス上で、IOS FW が動作しているか確認してください。以下のラインは、IOS FW がインタフェースに適用されていることを示します。このケースでは、検査ルール "<NAME>" が、インバウンドインタフェース FastEthernet0/0 に適用されています。

Interface Configuration
 Interface FastEthernet0/0
  Inbound inspection rule is <NAME>
   tcp alert is on audit-trail is off timeout 3600
   h323 alert is on audit-trail is off timeout 3600
  Outgoing inspection rule is not set

  • インバウンドの IOS FW (CBAC) をインタフェース FastEthernet0/0 上で無効にするには、以下のコマンド を、インタフェース設定モードで入力してください。

    Router#config t

   Router(config)#Interface FastEthernet 0/0

   Router(config-if)#no ip inspect <NAME> in

  • アウトバウンド IOS FW (CBAC) が FastEthernet0/0 上で設定されている場合、以下のコマンドを、インタ フェース設定モードで入力してください。

    Router#config t

   Router(config)#Interface FastEthernet 0/0

   Router(config-if)#no ip inspect <NAME> out

  •  他の IOS FW の機能に影響を与えずに H.323 メッセージの IOS FW (CBAC) 処理のみを無効にするには、以下のコマンドをグローバル設定モードで入力してください。

    Router(config)#no ip inspect name <NAME> h323

シスコは出来るだけ早い時期に、IOS をアップグレードすることをお勧めします。

3. IOS Network Address Translation (NAT)

NAT の設定をし NAT を動作させているインタフェースがある場合、show ip nat statistics コマンドにより NAT が設定され、それが動作しているか確認します。

Router#show ip nat statistics

   

   Total active translations: 3 (3 static, 0 dynamic; 0 extended

   Outside interfaces

   Inside interfaces

   Hits: 0  Misses: 0

   Expired translations: 0

   Dynamic mappings:

  • コマンドの出力がない場合、あるいは上述の出力のように "Outside interfaces" もしくは "Inside interfaces" に何も表示されない場合、IOS で NAT は動作しておらず本脆弱性の影響を受けません。.

  • 以下の出力のように "Outside interfaces" もしくは "Inside interfaces" に表示がある場合、本脆弱性の影響を受ける可能性があります。

    Total active translations: 3 (3 static, 0 dynamic; 0 extended
    Outside interfaces:
      Serial3/0
    Inside interfaces:
      Serial1/0
    Hits: 0  Misses: 0
    Expired translations: 0
    Dynamic mappings:

  • NAT の設定で Port Address Translation (PAT) のみが設定されている場合、PAT の設定の中で TCP port 1720 を明示的に指定していない限りは本脆弱性の影響を受けません。

    • PAT のみが動作しているか確認するためには、IOS NAT の設定に以下の NAT ルールに overloadroute-map, もしくは extendable キーワードが含まれているかを確認します。 

      ip nat outside source ...
      ip nat inside destination ...
      ip nat inside source ...

      上述の設定のいずれかに overloadroute-map, もしくは extendable キーワードが含まれないものがある場合には本脆弱性の影響を受けます。

    • H.323 (TCP port 1720) のスタティック PAT が動作しているか確認するためには、以下のパターンの設定が含まれているか確認します。

      ip nat (inside|outside) source static tcp ip-addr (port|1720) ip-addr (1720|port)

      以下の設定例は本脆弱性の影響を受けます。

      ip nat inside  source static tcp 10.1.0.1 1720 10.2.0.1 5834
      ip nat outside source static tcp 10.15.12.1 6884 10.6.7.1 1720
      ip nat inside  source static tcp 10.1.0.17 1720 10.33.14.1 1720

      以下の設定例は本脆弱性の影響を受けません。

      ip nat inside  source static tcp 10.1.0.17 53 10.33.14.1 53
      ip nat outside source static udp 10.1.14.75 1720 10.131.1.1 6888

       本脆弱性の影響を受けることが確認された場合は、「回避策」の 項をご参照ください。

特定の Cisco IOS リリースに関しての脆弱性を判断するためには、以下に記述する「ソフトウェ アバーションおよび修正」の項を参考に、脆弱性の影響を受けるソフトウェアバージョンが稼働する製品に該当するかどうかをご判断ください。

非該当製品


下記に、本脆弱性に該当しない特定の製品を記載します。これらの製品は脆弱性そのものを有しない、もしくは H.323 処理をサポートしないため本脆弱性の影響を受けません。下記のリストに記載されていない製品については、本脆弱性が確認されていない、あるいは本脆弱性の 影響を受けないと判断された製品であり、記載製品以外に本脆弱性の影響を受ける製品は知られておりません。

  • Cisco IP Phone models 7960, 7940, 7912, 7910, 7902, 30VIP, and 12SP+

  • Cisco uOne (All Versions)

  • VG248 Analog Phone Gateway

  • Cisco Unity Server

  • Catalyst 6000 WS-X6608 Voice Services Module and WS-X6624 FXS Analog Station Interface Module

  • PGW2200, SC2200, VSC3000 and H.323 Signalling Interface (HSI)

  • Cisco IP/VC 3500 Series

  • IP/TV series

  • Catalyst 19xx, 28xx, 290x, 292x, 2948g, 3000, 3200, 3900, 4000, 4912g, and 5000 series switches

  • Catalyst 2900XL, 2900XL-LRE, 2940, 2950, 2950-LRE, 2955, 2970, 3500XL, 3550, and 3750 series switches

  • Cache Engine series

  • Content Engine series

  • SN5400 series storage routers

  • VPN 3000 and VPN 5000 series VPN concentrators

  • Voice Interworking Service Module (VISM)

  • VCO/4K

  • Cisco Secure Intrusion Detection System (NetRanger) appliance and IDS Module

  • BR340, WGB340, AP340, AP350, and BR350 Cisco/Aironet wireless products

  • Cisco Aironet 1100 series, 1200 series, and 1400 series wireless products

  • Cisco PIX Firewall

  • Cisco Catalyst 6500 Series Firewall Services Module

  • Cisco 6xx series DSL modems running CBOS

  • Cisco 7xx series routers

  • Cisco 12000 series routers

  • Cisco 10000 series routers

  • 61xx and 62xx series DSLAMs

  • Cisco CSS11xxx series (including SSL Accelerator)

  • LocalDirector

  • BPX, IGX, MGX WAN switches, and the Service Expansion Shelf

  • Cisco Intelligent Contact Management (ICM)

  • Cisco ONS 15xxx platforms

詳細

H.323 は、パケットベース (IP) ネットワーク上で、リアルタイムにマルチメディア通信・会議を行うための国際電気通信連合 (ITU) 標準です。
H.225.0 は H.323 のサブセットで、IP ネットワーク上での呼処理信号手順およびメディア ストリーム パケット化のための手順です。

H.225.0 標準では、抽象構文記法 1 (ASN.1) を用いた呼設定、呼制御、通信のためのメッセージを定義します。
ISDN ネットワークでの呼処理信号のために開発された ITU 標準 Q.931 も、H.225.0 での呼設定メッセージの標準として採用されています。

Oulu 大学セキュア・プログラミング・グループ (OUSPG) は、H.323 メッセージ処理における脆弱性の予防的発見と解決を支援するために、H.323 のためのテストスイート、具体的には H.225.0 と Q.931 のためのテストスイートを作成しました。
そのテストスイートは通常、プロトコル解析とプロトコル実装における種々のデザイン制限を検証するメッセージを生成するために使用されます。
H.323 プロトコル・データ単位 (PDU) の種々のフィールド内に、過度に長い、または例外的な情報要素を含んだテストパケットがプログラミングにより生成され、テスト対象のデバイスに送信されま す。この配布される H.323 用 PROTOS テストスイートは、約 4500 の個別のテストケースを含みます。

影響を受ける製品において発見された脆弱性は、H.323 用 OUSPG PROTOS テストスイートを使用して繰り返して実証できます。
このアドバイザリに記述される脆弱性の大部分は、影響を受けるシステム(装置)において受信および処理される H.225.0 メッセージの不十分なチェックに起因します。
影響を受けるシステムで受信された不正な H.225.0 メッセージは、種々の構文解析や処理機能に不具合を生じさせ、結果として殆どの状況下でシステムのクラッシュによる再起動(リブート)を引き起こします。

一般的に H.323 ネットワーク構成要素は、UDP と TCP のポート 1720 において呼処理を実装しています。OUSPG の H.323 テストスイートはデフォルトでポート 1720 での TCP 実装のみをテストします。

Cisco IOS

Cisco IOS ソフトウェア
リリース

脆弱性の説明

11.1, 11.2, 11.3, 12.3

本脆弱性の影響を受けません。

11.3T, 12.0, 12.0S,12.0T, 12.1, 12.1T, 12.1E, 12.2, 12.2S, 12.2T

H.323 ネットワーク構成要素のトラフィック処理時に脆弱性が存在します。H.323 ゲートウェイ、H.323 ゲートキーパー、Proxy 機能を有効にした H.323 ゲートキーパーが含まれます。

12.1, 12.1E, 12.2, 12.2T, 12.2S, 12.3T

IOS による H.323 NAT トラフィック処理時に脆弱性が存在します。

12.0, 12.1, 12.1E, 12.2, 12..2T, 12.2S

H.323 IOS ファイアウォール (CBAC) トラフィック処理時に脆弱性が存在します。

H.323 Dial-peer エンドポイントとして動作する Cisco IOS の脆弱性は、以下のバグ ID
の中で記述されています。
CSCdt09262, CSCdt54401, CSCdw14262, CSCdx76632, CSCdx77253, CSCea19885, CSCea32240,
CSCea36231 , CSCea33065, CSCea42826, CSCea42527, CSCea44227, CSCea44309, CSCea46342, CSCec79541

H.323 ゲートキーパー プロキシとして動作する Cisco IOS の脆弱性は、以下のバグ ID
の中で記述されています。
CSCea51076, CSCea51030, CSCea54851

H.323 v3/4 トラフィックの NAT 変換を行っている Cisco IOS 装置は脆弱性を持つ可能性があります。
IOS 12.2T に基づくリリースは IOS 12.2(11)T 以降の IOS で動作していなければならず、隠しコマンド ip nat service h323all が有効になっていなければなりません。このコマンドのデフォルトは disable です。
12.1 と 12.1E に基づくリリースでは、NAT の外部インタフェースから内部インタフェースへ送られるパケットのみに対して脆弱性があります。
これはスタティックアドレス変換が設定され、ポート 1720 への接続を許可した場合にのみネットワークが脆弱性をもつことを意味します。
ポート 1720 においてダイナミックアドレス変換が行なわれる場合がありますが、攻撃トラフィックは元のフローの宛先アドレスから返されなければならず、アドレス変換が 動作している間にルータを横断しなければなりません。
ダイナミックアドレス変換の危険性を低減する方法については「回避策」の項に記載します。

H.323 NAT として動作する 12.1 以降の Cisco IOS の脆弱性は、以下のバグ ID の中で
記述されています。
CSCdr48143, CSCdx40184, CSCea27536, CSCec76694, CSCed28873

IOS ファイアウォールフィーチャセットが稼動し H.323 パケットの中身を解析する 12.1 以降の Cisco IOS の脆弱性は、以下のバグ ID の中で記述されています。
CSCec76776, CSCec87533

Cisco CallManager

Cisco CallManager における脆弱性は、次のバグ ID にて記述されています。
CSCdx82831, CSCea46545, CSCea55518

CallManager 3.1 または 3.2 が脆弱であるのは、発側装置の IP アドレスが CallManager 上で H.323 ゲートウェイ、H.323 クライアント、インタークラスター トランクとして設定されている場合、または CallManager 上のゲートキーパーの設定で "Allow Anonymous Calls" が有効になっている場合です。CallManager が H.225.0 装置として設定されていない装置から H.323 メッセージを受信した場合、その TCP セッションは、H.225.0 メッセージが処理される前にクローズされます。ゲートキーパーの設定で "Allow Anonymous Calls" が有効になっている場合、全ての発側装置からの H.225.0 メッセージが解析されるため、CallManager は脆弱になります。

CallManager 3.3 の場合はサーバーは脆弱であり、全ての発側装置から受信した H.225.0 メッセージを解析しようとします。しかしながら、CallManager は TCP 1720 以外のポートを使用しているかもしれません。攻撃が成功するのは、CallManager H.323 ゲートウェイの使用しているランダムなポート番号が特定された場合です。

Cisco Conference Connection

すべてのバージョンの Cisco Conference Connection (CCC) には脆弱性が存在します。現時点では、修正ソフトウェアが予定されていません。CCC を現在使用されているお客様は、信頼されたホスト (Trusted Hosts) のみからの H.323 トラフィックに制限ください。
「回避策」の項を参照ください。

Cisco Internet Service Node

すべてのバージョンの Internet Service Node (ISN) には脆弱性が存在します。現時点では、修正ソフトウェアが予定されていません。ISN を現在使用されているお客様は、信頼されたホスト (Trusted Hosts) のみからの H.323 トラフィックに制限ください。
「回避策」の項を参照ください。

Cisco 7905 Series IP Phone

Cisco7905 IP Phone における脆弱性は、次のバグ ID にて記述されています。
CSCec77152

Cisco ATA18x Series Analog Telephony Devices

Cisco ATA18x 装置における脆弱性は、次のバグ ID にて記述されています。
CSCea46231, CSCea48726

Cisco BTS 10200 Softswitch

Cisco BTS 10200 Softswitch における脆弱性は、次のバグ ID にて記述されています。
CSCea48755

影響

本脆弱性はサービス妨害 (DoS) に利用される可能性があります。本脆弱性が悪用された場合には、影響を受ける製品はクラッシュによる再起動を引き起こす可能性があります。 Cisco CallManager, ISN および CCC の場合、クラッシュ または プロセッサの使用率が 100% となりハング状態に陥ります。サーバー・ベースのプラットホームで CPU 利用率が 100% になった場合、呼処理サービスが著しく低下し、呼が欠落したり新規に呼が設定でき
なくなります。正常なサービス状態に回復させるためには、装置のリブートが必要になります。

ソフトウェアバージョンおよび修正

Cisco IOS ソフトウェア

下記の表中の各列は、対象となるリリーストレインとプラットフォーム、あるいは製品を表しています。もし、あるリリーストレインが脆弱である場合、最も早 く利用可能な修正済みリリースと利用可能予定日付が、それぞれ "Rebuild", "Interim", "Maintenance" 欄に記載されています。ある特定のリリースでは Rebuild リリースが計画されない場合もあり、これは "Not scheduled" と記されています。

それぞれのトレインにおいて、特定の欄のリリースよりも以前のリリース(最も早い修正リリースよりも小さい)を使用している装置は、脆弱であるとみなすこ とができます。その場合は表示されているリリースか、それ以降のバージョン(最も早い修正リリースよりも大きい)へのアップグレードが必要です。

リリースを選択する際には、次の IOS リリース定義にご留意ください。

  • Maintenance

    もっとも厳密に試験されており、下記表の列のいずれのラベルのリリースにおいて高く推奨されます。

  • Rebuild

    同じトレイン内で、一つ前の Maintenance またはメジャーリリースから構築されたもので、ある特定の問題の修正を含むものです。試験項目は少なくなっていますが、修正に必要なごく少ない変更のみを 含んだものです。シスコはこの脆弱性に対処するために、メインライン トレインでいくつかの Rebuild を用意していますが、メインライン トレインの最新の Maintenance リリースのみを使用することを強く推奨します。

  • Interim

    Maintenance リリース間に定期的に構築され、試験項目は少なくなっています。 Interim は脆弱性に対処した適切なリリースが存在しない場合に選択されるべきで、 Interim イメージを使用した場合には、次の Maintenance リリース後に迅速にアップグレードされなければなりません。Interim リリースは通常経路からの入手は不可能で、事前に Cisco Technical Assistance Center (TAC) に手配を行わない限り、お客様が CCO からダウンロードすることはできません。

全てのケースで、お客様がアップグレードする装置に十分なメモリが実装されているか、現在のハードウェア、ソフトウェア設定が新しいリリースにおい ても適切にサポートし続けられているかについて、十分な注意を払う必要があります。情報が明らかでない場合は、本項の表の次に記載されている Cisco TAC までお問い合わせください。

注意:下記の表において、"Element" の欄は H.323 エンドポイントおよび H.323 ゲートキーパープロキシとして動作す る IOS 装置の修正を含みます。

Train

Vulnerable Configuration

Availability of Fixed Releases

10.x-based Releases

Not Vulnerable

11.x-based Releases

Rebuild

Interim

Maintenance

11.0

  

Not Vulnerable

11.1

  

Not Vulnerable

11.1AA

  

Not Vulnerable

11.1CA

  

Not Vulnerable

11.1CC

  

Not Vulnerable

11.2

  

Not Vulnerable

11.2P

  

Not Vulnerable

11.2SA

  

Not Vulnerable

11.3

  

Not Vulnerable

11.3T

  

Introduced H.323 feature in 11.3(3)T

Vulnerable

No Software Fixes Scheduled

Migrate to 12.0

12.0-based Releases

Rebuild

Interim

Maintenance

12.0

Element

    

12.0(27)

NAT

Not Vulnerable

IPFW

12.0(28)

12.0D

  

Not Vulnerable

12.0DA

  

Not Vulnerable

12.0DC

  

Not Vulnerable

12.0S

Element

2600/3600 Platforms ONLY

12.0(25)S1,

12.0(24)S2,

12.0(23)S3

  

2600/3600 Platforms ONLY

12.0(26)S

NAT

Not Vulnerable

IPFW

Not Vulnerable

12.0SC

  

Not Vulnerable

12.0SL

  

Not Vulnerable

12.0SP

 

Not Vulnerable

12.0ST

 

No fixes planned, only 2600/3600 platforms vulnerable

12.0SX

  

Not Vulnerable

12.0SY

  

Not Vulnerable

12.0SZ

  

Not Vulnerable

12.0T

 

Vulnerable. No fixes planned.

12.0W5

 

Not Vulnerable

12.0WC

  

Not Vulnerable

12.0WT

 

Not Vulnerable

12.0XC

  

Vulnerable. Migrate to 12.1(22)

12.0XD

  

Vulnerable. Migrate to 12.1(22)

12.0XG

  

Vulnerable. Migrate to 12.1(22)

12.0XH

  

Vulnerable. Migrate to 12.1(22)

12.0XI

  

Vulnerable. Migrate to 12.1(22)

12.0XJ

  

Vulnerable. Migrate to 12.1(22)

12.0XK

  

Vulnerable. Migrate to 12.2(19)b

12.0XL

  

Vulnerable. Migrate to 12.1(22)

12.0XN

  

Vulnerable. Migrate to 12.1(22)

12.0XQ

  

Vulnerable. Migrate to 12.1(22)

12.0XR

  

Vulnerable. Migrate to 12.2(19)b

12.0XT

  

Vulnerable.

No migration path

12.1-based Releases

Rebuild

Interim

Maintenance

12.1

Element

    

12.1(22)

NAT

    

12.1(22)

IPFW

    

12.1(22)

12.1AA

 

Vulnerable. Migrate to 12.2(19)b

12.1AX

 

Not Vulnerable

12.1AY

 

Not Vulnerable

12.1DA

 

Not Vulnerable

12.1DB

 

Not Vulnerable

12.1DC

 

Not Vulnerable

12.1E

Element

12.1(20)E2

    

NAT

12.1(13)E13,

12.1(20)E2

12.1(8b)E18, 12.1(11b)E14, 12.1(14)E10, 12.1(19)E6 - available by 16-Jan-2004

    

IPFW

12.1(8b)E16,

12.1(11b)E14,

12.1(13)E12,

12.1(14)E9,

12.1(19)E6,

12.1(20)E2

    

12.1EA

  

Not Vulnerable

12.1EB

  

Not Vulnerable

12.1EC

 

Vulnerable

No migration path

No fixed release

12.1EV

  

Not Vulnerable

12.1EW

  

Not Vulnerable

12.1EX

  

Not Vulnerable

12.1EY

  

Not Vulnerable

12.1EZ

  

Vulnerable

Not yet migrated

No rebuild planned

12.1T

Element

12.1(5)T17

  

Migrate to 12.2(19)b

NAT

12.1(5)T17

  

Migrate to 12.2(19)b

IPFW

12.1(5)T17

  

Migrate to 12.2(19)b

12.1X(l)

12.1X releases generally migrate to 12.1T, 12.2 or 12.2T as specified below. Please refer to specific train technical notes for documented migration path.

12.1XA

  

Vulnerable. Migrate to 12.2(19)b

12.1XB

  

Vulnerable. Migrate to 12.2(15)T5

12.1XC

  

Vulnerable. Migrate to 12.2(19)b

12.1XD

  

Vulnerable. Migrate to 12.2(19)b

12.1XF

  

Not Vulnerable

12.1XG

  

Vulnerable. Migrate to 12.2(15)T5

12.1XH

  

Vulnerable. Migrate to 12.2(19)b

12.1XI

  

Vulnerable. Migrate to 12.2(19)b

12.1XJ

  

Vulnerable. Migrate to 12.2(15)T5

12.1XL

  

Vulnerable. Migrate to 12.2(15)T5

12.1XM

  

Vulnerable. Migrate to 12.2(2)XB15

12.1XP

  

Vulnerable. Migrate to 12.2(15)T5

12.1XQ

  

Vulnerable. Migrate to 12.2(2)XB15

12.1XR

  

Vulnerable. Migrate to 12.2(15)T5

12.1XT

  

Vulnerable. Migrate to 12.2(15)T5

12.1XU

  

Vulnerable. Migrate to 12.2(4)T6

12.1XV

  

Vulnerable. Migrate to 12.2(2)XB15

12.1XW

  

Vulnerable. Migrate to 12.2(15)T5

12.1YB

  

Vulnerable. Migrate to 12.2(15)T5

12.1YC

  

Vulnerable. Migrate to 12.2(15)T5

12.1YD

  

Vulnerable. Migrate to 12.2(15)T5

12.1YE

  

Vulnerable. Migrate to 12.2(15)T5

12.1YF

  

Vulnerable. Migrate to 12.2(15)T5

12.1YH

  

Vulnerable. Migrate to 12.2(15)T5

12.1YI

  

Vulnerable. Migrate to 12.2(15)T5

12.1YJ

 

Not Vulnerable

12.2-based Releases

Rebuild

Interim

Maintenance

12.2

Element

12.2(10g),

12.2(13c),

12.2(16a)

  

12.2(17)

NAT

12.2(19b)

12.2(21a)

12.2(10g), 12.2(13e), 12.2(16f), 12.2(17d) - available by 16-Jan-2004

    

IPFW

Not Vulnerable

12.2B

  

Migrate to 12.3(4)T

12.2BC

  

Not Vulnerable

12.2BW

 

Migrate to 12.2(15)T5

  

Migrate to 12.3(3e)

12.2BX

  

Vulnerable

No migration path

12.2BZ

  

Not Vulnerable

12.2CX

  

Not Vulnerable

12.2CY

  

Not Vulnerable

12.2DA

  

Not Vulnerable

12.2DD

  

Vulnerable. Migrate to 12.3(3e)

12.2DX

  

Vulnerable. Migrate to 12.3(3e)

12.2JA

 

Not Vulnerable

12.2MB

 

Not Vulnerable

12.2MC

  

Vulnerable

No planned release

12.2MX

 

Vulnerable. Migrate to 12.3(4)T1

12.2S

Element

12.2(14)S3

  

12.2(18)S

NAT

12.2(14)S7 available Feb-23-2004

12.2(18)S3 available Jan-19-2004

    

IPFW

Not Vulnerable

12.2SX

Element

12.2(17a)SXA

    

NAT

12.2(17a)SXA

    

IPFW

TBD

12.2SY

 

12.2(14)SY3

    

12.2SZ

 

Not Vulnerable

12.2T

Element

12.2(4)T6,

12.2(8)T10,

12.2(11)T9,

12.2(13)T5,

12.2(15)T2

  

No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release.

NAT

12.2(4)T6,

12.2(8)T10,

12.2(11)T8,

12.2(13)T3,

12.2(15)T5

  

No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release.

IPFW

12.2(4)T8

  

No more maintenance trains for 12.2T are planned. Please migrate to the latest 12.3 Mainline release.

12.2XA

 

Vulnerable. Migrate to 12.2(11)T9

12.2XB

Element

12.2(2)XB14

    

NAT

12.2(2)XB14

    

IPFW

12.2(2)XB15

    

12.2XC

 

Vulnerable. Migrate to 12.3(3e)

12.2XD

  

Vulnerable. Migrate to 12.2(15)T5

12.2XE

  

Not Vulnerable

12.2XF

  

Not Vulnerable

12.2XG

  

Vulnerable. Migrate to 12.2(8)T10

12.2XH

  

Vulnerable. Migrate to 12.2(15)T5

12.2XI

  

Vulnerable. Migrate to 12.2(15)T5

12.2XJ

  

Vulnerable. Migrate to 12.2(15)T5

12.2XK

  

Vulnerable. Migrate to 12.2(15)T5

12.2XL

  

Vulnerable. Migrate to 12.2(15)T5

12.2XM

  

Vulnerable. Migrate to 12.2(15)T5

12.2XN

  

Vulnerable. Migrate to 12.2(11)T9

12.2XQ

  

Vulnerable. Migrate to 12.2(15)T5

12.2XS

  

Vulnerable. Migrate to 12.2(2)XB15

12.2XT

  

Vulnerable. Migrate to 12.2(11)T9

12.2XU

  

Vulnerable. Migrate to 12.2(15)T5

12.2XW

  

Vulnerable. Migrate to 12.2(15)T5

12.2YA

Element

12.2(4)YA7

    

NAT

Not Vulnerable

IPFW

12.2(4)YA8

    

12.2YB

  

Vulnerable. Migrate to 12.2(15)T5

12.2YC

  

Vulnerable. Migrate to 12.2(15)T5

12.2YD

  

Vulnerable. Migrate to 12.3(2)T3

12.2YE

  

Vulnerable. Migrate to 12.2(15)T5

12.2YF

  

Vulnerable. Migrate to 12.2(15)T5

12.2YG

  

Not Vulnerable

12.2YH

  

Vulnerable. Migrate to 12.2(15)T5

12.2YJ

  

Vulnerable. Migrate to 12.2(15)T5

12.2YK

 

Vulnerable. Migrate to 12.2(13)ZC

12.2YL

  

Vulnerable. Migrate to 12.3(2)T3

12.2YM

  

Vulnerable. Migrate to 12.3(2)T3

12.2YN

  

Vulnerable. Migrate to 12.3(2)T3

12.2YO

  

Not Vulnerable

12.2YP

  

Not Vulnerable

12.2YQ

  

Not Vulnerable

12.2YR

  

Not Vulnerable

12.2YS

  

Not Vulnerable

12.2YT

  

Vulnerable. Migrate to 12.2(15)T5

12.2YU

  

Vulnerable. Migrate to 12.3(4)T1

12.2YV

  

Vulnerable. Migrate to 12.3(4)T1

12.2YW

Element

12.2(8)YW3

    

NAT

12.2(8)YW3

    

IPFW

Not Vulnerable

12.2YX

 

Migrate to 12.2(S) Release 3

or migrate to 12.2(14)SU March-2004

12.2YY

  

Vulnerable

Migrate to 12.3(2)T3

12.2YZ

  

Vulnerable. Rebuilds available upon request.

12.2ZA

  

Not Vulnerable

12.2ZB

 

Vulnerable

Migrate to 12.3(2)T3

12.2ZC

 

Vulnerable

Not yet planned

12.2ZD

  

Vulnerable

No Migration path

No planned fix

12.2ZE

 

Vulnerable. Migrate to 12.3(3e)

12.2ZF

 

Vulnerable. Migrate to 12.2(15)SL1

12.2ZG

 

Vulnerable

No Migration path

No planned fix

12.2ZH

Element

12.2(13)ZH3

    

NAT

      

IPFW

Not Vulnerable

12.2ZJ

Element

12.2(15)ZJ3

    

NAT

12.2(15)ZJ2

    

IPFW

Not Vulnerable

12.2ZL

Element

12.2(15)ZL1

   

NAT

      

IPFW

Not Vulnerable

12.2ZM

  

Not Vulnerable

12.2ZP

  

Not Vulnerable

12.3-based Releases

Rebuild

Interim

Maintenance

12.3

  

Not Vulnerable

12.3T

Element

Not Vulnerable to H.323 endpoint/gateway/gatekeeper issues

NAT

12.3(2)T3

12.3(4)T1

    

IPFW

Not Vulnerable to IOS FW issue

Cisco Software - Non IOS

全てのケースで、お客様がアップグレードする装置に十分なメモリが実装されているか、現在のハードウェア、ソフトウェア設定が新しいリリースにおい ても適切にサポートし続けられているかについて、十分な注意を払う必要があります。情報が明らかでない場合は「修正ソ フトウェアの入手」の項に記載の Cisco TAC までお問い合わせください。

Cisco CallManager

Cisco CallManager 各リリースの修正については、下記表のとおりです。

Cisco CallManager Version

First Fixed Regular Release

3.1

3.1(4b)spD

3.2

3.2(3)

3.3

3.3(2)spC

3.3(3)

Cisco Conference Connection

現在のところ Cisco Conference Connection (CCC) に対するソフトウェアの修正は予定されておりません。CCC をご利用のお客様は、H.323 のトラフィックを信頼できるホストからのみに制限する回避策を実施する必要があります。
詳細については、「回避策」の項を参照してください。

Cisco Internet Service Node

現在のところ Cisco Internet Service Node (ISN) に対するソフトウェアの修正は予定されておりません。ISN をご利用のお客様は、H.323 のトラフィックを信頼できるホストからのみに制限する回避策を実施する必要があります。
詳細については、「回避策」の項を参照してください。

Cisco 7905 Series IP Phone

これらの不具合は、7905 H.323 phone ファームウェア・ロードのバージョン 1.0(1) にて修正されています。修正を含むバージョン 1.0(1) のイメージ名は、Signed feature イメージについては cp790501001h323031212a.sbin、Unsigned feature イメージについては cp790501001h323031212a.zup となります。

Cisco ATA18x Series Analog Telephony Devices

これらの不具合は、ソフトウェアバージョン 2.16.1 で修正されています。

Cisco BTS 10200

Cisco BTS 10200 はソフトウェアバージョン 4.1 にて修正されています。 BTS 10200 をご利用のお客様は、以下の 「修正ソフトウェアの入手」の項の指示に従い、TAC と連絡をとり修正ソフトウェアを入手してください。

修正ソフトウェアの入手

契約を有するお客様は通常の経路でアップグレードのためのソフトウェアを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイ ト上のソフトウェアセンターから入手することができます。
http://www.cisco.com/tacpage/sw-center/

シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ製品を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソ フトウェアアップグレードを入手してください。

シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサードパーティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入 手できないお客様は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に連絡し、修正済ソフトウェアを入手してください。TAC への連絡先は以下の通りです。

  • +1 800 553 2447 (北米内からフリーダイヤル)

  • +1 408 526 7209 (北米以外からの有料通話)

  • e-mail: tac@cisco.com

様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスなど、その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を提示してください。契約がないお客様の無償アップグレードは TAC を通して要求してください。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

回避策

H.323 エンドポイントとプロキシーへの回避策

H.323 が動作している装置には脆弱性があり、それを防ぐための特別な設定は存在しません。しかしながら、H.323 トラフィックを許可しないインターフェースにアクセスリストを適用することや、有効なロケーションにファイアウォールを設置することは、アップグレードが 実施されるまでの間、攻撃の脅威にさらされる可能性を大きく低減することが可能となります。

VoIP SAFE 文書(下記 URL)は、インターネットと音声ネットワークを分離すべきであるという観点の多様なベストプラクティスについて説明しています。これは外部からの攻撃を 受ける危険性を低減しますが、ローカルネットワークからのアタックについては依然として潜在的危険性が伴います。 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

許可されたネットワーク以外で、H.323 管理トラフィックをブロックすることが可能なアクセスリストの例を下記に示します。この例では、ネットワーク 172.16.0.0/16 を許可してい ます。


!--- ネットワーク 172.16.0.0/16 内のすべての IP アドレスから、あらゆる IP 
!--- アドレスの TCP ポート 1720 番へのアクセスを許可

   

   access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq 1720

   

   !--- あらゆる IP アドレスから、ネットワーク 172.16.0.0/16 内のホストの TCP 
!--- ポート 1720 番へのアクセスを許可

    
access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 1720


   !--- TCP ポート1720 番からのあらゆるトラフィックを拒否

   

   access-list 101 deny tcp any eq 1720 any

   

   !--- TCP ポート1720 番へのあらゆるトラフィックを拒否

   

   access-list 101 deny tcp any any eq 1720

   

   !--- その他のトラフィックを許可

   

   access-list 101 permit ip any any
 

 

H.323 トラフィックで NAT が動作する IOS 機器への回避策

問題のあるバージョン 12.1 または 12.1E にて動作する Cisco IOS 装置においてスタティック NAT が設定されている場合、NAT 処理により当該装置を通過しようとする不正なパケットを使用したアタックに対して脆弱性があります。
このような状況において、危険性を低減したり除去する方法が幾つかあります。

  • 外部インターフェースへのアクセスリスト

    送信元または宛先のポート番号が 1720 であるパケットにのみ、H.323 パケットの中身を解析します。これらのパケットのアドレス変換や許可が必要でないならば、ファイアウォールのような外部装置を用いて、または NAT が動作する装置の外部インターフェースにインプット アクセスリストを適用することにより、これらのパケットをブロックします。

    interface serial 0/0
     ip nat outside
    

    !--- どのインターフェースでアクセスリストの設定を適用するか判定する
    

        ip access-group 101 in
    !
    access-list 101 deny tcp any eq 1720 any
    access-list 101 deny tcp any any eq 1720
    access-list 101 permit ip any any

  • スタティック NAT で ポート 1720 番のトラフィックをブロックするポリシーベースルーティング

    簡単なスタティック アドレス変換は、あらゆるポートでトラフィックを通過させてしまいます。スタティック NAT の設定で H.323 トラフィックを許可する必要が無く、外部インターフェースにアクセスリストを適用することが現実的でない場合は、ポリシーベースルーティングを用い、ポー ト 1720 宛のトラフィックを迂回 (Null インターフェースにて廃棄)させます。 ポリシーベース ルーティングは NAT 処理が行われる前に動作します。

    この例では、宛先アドレス 1.0.0.5 は外部からのルート可能なアドレスであり、ルーターはローカルネットワークアドレスへの NAT 変換を行います。 
    interface Null0
         no ip unreachables
        !
        interface Ethernet0/0
         ip address 10.0.0.8 255.255.255.0
         ip nat inside
        !
        interface Ethernet0/1
         ip address 11.0.0.8 255.255.255.0
         ip nat outside
         ip policy route-map block-h323

        ip nat inside source static 10.0.0.5 1.0.0.5

        access-list 102 permit tcp any host 1.0.0.5 eq 1720
        access-list 102 permit tcp any eq 1720 host 1.0.0.5

        route-map block-h323 permit 10
         match ip address 102
         set interface Null0

  • ダイナミックアドレス変換を使用したポート 1720 のブロッキング

    ダイナミックアドレス変換の場合、NAT 変換によって開けられた穴を通した元のフローの外部アドレスからの攻撃に対して脆弱性を示すことがありますが、ip nat translation port-timeout tcp 1720 2 コマンドを使用することにより早急に変換時間のタイムアウトを発生させ、攻撃を受ける危険性を低減することが可能です。上記コマンドの例ではポート 1720 使用時の変換時間を 2 秒でタイムアウトさせますが、正常呼処理時に必要な呼設定要求が処理されるには短すぎるかもしれません。

    アクセスリストの代わりにルートマップを使用することにより、発信元または宛先ポート番号 1720 のトラフィックが NAT 変換されないよう設定することができます。下記のサンプルコンフィグレーションでは、送信元ネットワーク 10.0.0.0/24 からのトラフィックが、発信元または宛先ポート 1720 に関するものを除き、アドレス変換プール "h323-test" で定義したアドレスにダイナミックに変換されることを許可します。

    注意: この設定では、NetMeeting のような PC 上で動作する H.323 アプリケーションに対し、NAT を使用することができなくなります。このような回避策を適用する場合、ネットワークにおいてこの類のアプリケーションが使用されているかどうかを把握する ことは非常に重要です。

    interface Ethernet0/0
         ip address 10.0.0.8 255.255.255.0
         ip nat inside
        !
        interface Ethernet0/1
         ip address 11.0.0.8 255.255.255.0
         ip nat outside

        ip nat pool h323-test 1.0.0.5 1.0.0.15 prefix-length 24     
        ip nat inside source route-map h323-block pool h323-test   

        access-list 101 deny   tcp any any eq 1720
        access-list 101 deny   tcp any eq 1720 any      
        access-list 101 permit ip host 10.0.0.0 0.0.0.255 

        route-map h323-block permit 10
         match ip address 101

ローカルに信頼されたホスト (trusted hosts) からの H.323 トラフィックのみに制限をかけるための Windows ベースのアクセスコントロールリストの定義

マイクロソフト Windows 2000 ベースのサーバーに対してアクセス制御の設定を組みこむIPSec-H323.exe という名称の実行可能ファイルは以下にございます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2

 
本回避策で "Cisco Conference Connection" と "Internet Service Node" に悪影響がある可能性のある H.323 パケットを遮断できることを検証済みです。
スクリプトの詳細につきましては上述の URL より入手可能になっております。
IPSec-H323-Readme.htm ファイルをご確認ください。

不正利用事例と公表

Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認していません。

本脆弱性は, UK Government CERT (Computer Emergency Response Team) である NISCC (National Infrastructure Security Co-ordination Centre) Vulnerability Management Team の協力を得て、フィンランドの Oulu 大学 の OUSPG (Oulu University Secure Programming Group) にて開発された PROTOS H.323 テストスイートにて確認されました。

また、シスコ製品以外にも同様の脆弱性が確認されており、本アドバイザリは脆弱性の影響を受ける他の組織と同時に公表されることになります。

この通知のステータス:INTERIM

この通知内容は臨時のものです。シスコ PSIRT では本通知の内容すべてに関して完全性を保証いたしかねますが、すべて公表事実は最善を尽くして確認されているものになります。シスコ PSIRT では通知における事実に変更がない限り新たなバージョンをリリースする予定はなく、重要な変更がある場合にのみ本通知を更新します。

後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行 われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml.

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されてい ます。

  • cust-security-announce@cisco.com

  • bugtraq@securityfocus.com

  • full-disclosure@lists.netsys.com

  • vulnwatch@vulnwatch.org

  • first-teams@first.org (includes CERT/CC)

  • cisco@spot.colorado.edu

  • cisco-nsp@puck.nether.net

  • comp.dcom.sys.cisco

  • Various internal Cisco mailing lists

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもし くはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めい たします。

更新履歴

Revision 1.3 2004-January-16 「該当製品」の項:

 "show process cpu" コマンドの構文を更新。

Revision 1.2

2004-January-15

「要約」 と 「該当製品」の項:

 該当製品の性質を明確化。

「Cisco IOS Software」の表:

 12.2XB、12.0、12.1、12.2B、12.2S、ならびに 12.1E の箇所を更新。

「回避策」の項:

 IPSec-H323.exe へのリンクを更新。

Revision 1.1
 2004-January-14
 「該当製品」の項:

 「Cisco AS5xxx シリーズプラットフォーム」 を「IOS "PLUS" フィーチャーセット」に変更。
 「H.323 のトラフィックを処理する Cisco IOS」の箇所の「AS5xxx プラットフォーム」 を削除。
 「H.323 のトラフィックを処理する Cisco IOS」の箇所の「注意」の更新 。
 「H.323 エンドポイント」の箇所の「注意」 を更新。

「Cisco IOS Software」の表:

 12.2XB、12.1E、12.2 ならびに 12.0 の箇所を更新。
 "Migrate to 12.2(19)" を "Migrate to 12.2(19)b" にすべて変更。

「回避策」の項:

 「ローカルに信頼されたホスト (trusted hosts) からの H.323 トラフィックのみに制限をかけるための Windows ベースのアクセスコントロールリストの定義」の箇所を更新。

「不正利用事例と公表」の項:

 "UNIRAS" を "NISCC Vulnerability Management Team" に変更。

Revision 1.0

2004-January-13

初版

 

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法につい て詳しく知るには、シスコワールドワイドウェブサイトの http://www.cisco.com/warp/public/707/sec_incident_response.shtml にアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリ ティアドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。