日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Cisco IOS 15 コード ベースに基づく、一部の Cisco IOS および Cisco IOS XE リリースは、ユーザが入力した プレーンテキスト パスワードをハッシュするための新しいアルゴリズムをサポートします。このアルゴリズムは Type 4 と呼ばれ、このアルゴリズムを使用してハッシュされたパスワードは Type 4 パスワードと呼ばれます。Type 4 アルゴリズムは、既存の Type 5 および Type 7 アルゴリズムよりも強力な代替策として設計されており、ブルートフォース アタックに備えて enable secret password および username username secret password コマンドに使用されるパスワードの強度を高めています。
この設計では、RFC 2898 セクション 5.1 に記載された Password-Based Key Derivation Function version 2(PBKDF2)を、次の入力値で使用するように要求しています。実装面での問題があるため、Type 4 パスワード アルゴリズムは PBKDF2 およびソルトは使用せず、ユーザが入力したプレーンテキスト パスワードに対して SHA-256 暗号化を 1 回実行します。このため、ブルートフォース アタックに対する Type 4 パスワードの強度は、同等に複雑な Type 5 パスワードよりも低下してしまいます。
Type 4 パスワードの実装により、次の問題も生じています。
上述したすべての問題は、Type 4 パスワードをサポートし、かつ「enable secret <password>」および「username <username> secret <password>」コマンドを利用する Cisco IOS および Cisco IOS XE リリースを稼働しているデバイスのみに該当します。他の Cisco IOS または IOS XE 機能は、パスワードまたは鍵をハッシュするためにこのアルゴリズムを使用することはありません。これらの問題は Open Shortest Path First(OSPF)、Border Gateway Protocol(BGP)、Routing Information Protocol(RIP)、その他あらゆるルーティング プロトコル鍵、または IPsec 用事前共有鍵には影響しません。
これらの問題は、Type 4 パスワードをサポートしない Cisco IOS および Cisco IOS XE リリースを稼働するデバイスには影響を与えません。
この問題は、Cisco Bug ID CSCue95644
管理者は次の手順に従って、特定のデバイスで稼働する Cisco IOS または Cisco IOS XE リリースが Type 4 パスワードをサポートしているか否かを確認できます。
1) デバイスにログインして show version | include IOS コマンドを実行します。
バージョン番号が「15」で始まる場合、次のステップに進みます。 そうでない場合、デバイスで稼働中の Cisco IOS または Cisco IOS XE リリースは Type 4 パスワードをサポートしていません。router#show version | include IOS
Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 15.3(1)T, RELEASE SOFTWARE (fc1)
router#
上の例の「4 Specifies an SHA256 ENCRYPTED secret will follow」という行が、 デバイスで稼働中の Cisco IOS または Cisco IOS XE リリースが Type 4 パスワードをサポートしていることを示しています。router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router#(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
4 Specifies an SHA256 ENCRYPTED secret will follow
5 Specifies a MD5 ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
router(config)#
上記の例では、 enable secret コマンドのヘルプ出力の中に「4 Specifies an SHA256 ENCRYPTED secret will follow」がありません。この出力は、 このデバイスで稼働中の Cisco IOS または Cisco IOS XE リリースが Type 4 パスワードをサポートしていないことを示しています。router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router#(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
router(config)#
次の例は、 Type 4 パスワードが設定されていないデバイスを示しています。show running-config | include ^(enable secret 4|username.*secret.4)
次の例は、「 enable secret <password>」および「username <username> secret <password>」の両コマンドに Type 4 パスワードが設定されてるデバイスを示しています。 secret キーワードの直後の数字 4 が、Type 4 パスワードの存在を示します。router#show running-config | include ^(enable secret 4|username.*secret.4)
router#
router#show running-config | include ^(enable secret 4|username.*secret.4)
enable secret 4 ohKCwRDiX5YiRkTbLspqXvQkxiL91lDUlt.JzPd33RY
username demo secret 4 ohKCwRDiX5YiRkTbLspqXvQkxiL91lDUlt.JzPd33RY
router#
注: enable secret password または username username secret password に、プレーンテキスト パスワードを引数として渡してType 5 パスワードを生成するように指示することはできません。 enable secret password または username username secret password を Type 5 パスワードで設定する唯一の方法は、 enable secret 5 password または username username secret 5 password コマンドを使用する方法です。ここで password は事前に生成した Type 5 パスワードを指しています。router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#enable secret Th1z#1s+53kri7
router(config)#username demo secret Th1z#1s+53kri7
router(config)#do show running-config | include ^(enable|username)
enable secret 4 ohKCwRDiX5YiRkTbLspqXvQkxiL91lDUlt.JzPd33RY
username demo secret 4 ohKCwRDiX5YiRkTbLspqXvQkxiL91lDUlt.JzPd33RY
router(config)#
3) デバイスが、以前の Type 4 パスワード 非サポート の Cisco IOS または Cisco IOS XE リリースからアップグレードされ、コマンド enable secret 5 password または username username secret 5 password が設定に含まれている場合、Type 5 パスワードはパースされ、設定に追加されて正常に機能します。 デバイスを Type 4 パスワードをサポートする Cisco IOS または Cisco IOS XE リリースにアップグレードした後、既存の Type 5 パスワード から Type 4 パスワードへの自動変換は行われません。router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#enable secret 5 $1$YXEj$Fr7OC1Jh62xJRb/rdIm9d0
Warning: The CLI will be deprecated soon
'enable secret 5 $1$YXEj$Fr7OC1Jh62xJRb/rdIm9d0'
Please move to 'enable secret <password>' CLI
router(config)#username demo secret 5 $1$Gd0I$VJkZkCRG1d1FvY7we7dzM.
Warning: MD5 encryption will be deprecated soon.Please move to SHA256 encryption.
router(config)#do show running-config | include ^(enable|username)
enable secret 5 $1$YXEj$Fr7OC1Jh62xJRb/rdIm9d0
username demo secret 5 $1$Gd0I$VJkZkCRG1d1FvY7we7dzM.
router(config)#
2) 表示された Type 5 パスワード(上の例では $1$M/wf$iqBnv/g3GuVUsCpWcDFS20)をコピーします。router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#username demo secret Th1z#1s+53kri7
router(config)#do show running-config | include username demo.*secret 5
username demo secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20
router(config)#no username demo
router(config)#
管理者は文字列 PLAINTEXT_PASSWORD を適切なプレーンテキスト パスワードで置き換える必要があります。次の例は、文字列 Th1z#1s+53kri7 をプレーンテキスト パスワードとして使用しています。openssl passwd -salt `openssl rand -base64 3` -1 PLAINTEXT_PASSWORD
2) 表示された Type 5 パスワード(上の例では $1$dxVt$FSJmj1O6JUZdbUjxZkIuD )をコピーします。hostname$ openssl passwd -salt `openssl rand -base64 3` -1 Th1z#1s+53kri7
$1$dxVt$FSJmj1O6JUZdbUjxZkIuD.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#username demo secret 5 $1$dxVt$FSJmj1O6JUZdbUjxZkIuD.
Warning: MD5 encryption will be deprecated soon.Please move to SHA256 encryption.
router(config)#enable secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20
Warning: The CLI will be deprecated soon
'enable secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20'
Please move to 'enable secret <password>' CLI
router(config)#
(注)
| Affected 15.0-Based Cisco IOS and Cisco IOS XE Releases | Affected Cisco IOS and Cisco IOS XE Versions |
|---|---|
| 15.0EA | 15.0(2)EA |
| 15.0EB | 15.0(2)EB |
| 15.0EC | 15.0(2)EC |
| 15.0ED | 15.0(2)ED |
| 15.0EX | 15.0(1)EX, 15.0(1)EX1, 15.0(2)EX, 15.0(2)EX1 |
| 15.0EY | 15.0(2)EY, 15.0(2)EY1 |
| 15.0EZ | 15.0(1)EZ, 15.0(2)EZ |
| 15.0MR | 15.0(1)MR, 15.0(2)MR |
| 15.0MRA | 15.0(1)MRA |
| 15.0S | 15.0(1)S, 15.0(1)S1, 15.0(1)S10, 15.0(1)S2, 15.0(1)S3a, 15.0(1)S4, 15.0(1)S4a, 15.0(1)S5, 15.0(1)S6 |
| 15.0SE | 15.0(2)SE, 15.0(2)SE1, 15.0(2)SE2, 15.0(2)SE3, 15.0(2)SE4 |
| Affected 15.1-Based Cisco IOS and Cisco IOS XE Releases | Affected Cisco IOS and Cisco IOS XE Versions |
| 15.1EY | 15.1(2)EY, 15.1(2)EY1, 15.1(2)EY1a, 15.1(2)EY2, 15.1(2)EY2a, 15.1(2)EY3, 15.1(2)EY4 |
| 15.1GC | 15.1(4)GC, 15.1(4)GC1 |
| 15.1M | 15.1(4)M10, 15.1(4)M4, 15.1(4)M5, 15.1(4)M6, 15.1(4)M7, 15.1(4)M8 |
| 15.1MR | 15.1(1)MR, 15.1(1)MR1, 15.1(1)MR2, 15.1(1)MR3, 15.1(1)MR4, 15.1(1)MR5, 15.1(1)MR6, 15.1(3)MR |
| 15.1MRA | 15.1(3)MRA, 15.1(3)MRA1 |
| 15.1S | 15.1(1)S, 15.1(1)S1, 15.1(1)S2, 15.1(2)S, 15.1(2)S1, 15.1(2)S2, 15.1(3)S, 15.1(3)S0a, 15.1(3)S1, 15.1(3)S2, 15.1(3)S3, 15.1(3)S4, 15.1(3)S5, 15.1(3)S6 |
| 15.1SA | 15.1(1)SA, 15.1(1)SA1, 15.1(1)SA2 |
| 15.1SG | 15.1(1)SG, 15.1(1)SG1, 15.1(1)SG2, 15.1(2)SG, 15.1(2)SG1 |
| 15.1SNG | 15.1(2)SNG |
| 15.1SNH | 15.1(2)SNH, 15.1(2)SNH1 |
| 15.1SNI | 15.1(2)SNI |
| 15.1SVA | 15.1(3)SVA |
| 15.1SVB | 15.1(3)SVB, 15.1(3)SVB1 |
| 15.1SVC | 15.1(3)SVC |
| 15.1XB | 15.1(4)XB8, 15.1(4)XB8a |
| Affected 15.2-Based Cisco IOS and Cisco IOS XE Releases | Affected Cisco IOS and Cisco IOS XE Versions |
| 15.2E | 15.2(1)E, 15.2(2)E |
| 15.2GC | 15.2(2)GC, 15.2(3)GC, 15.2(3)GC1 |
| 15.2GCA | 15.2(3)GCA, 15.2(3r)GCA |
| 15.2JA | 15.2(4)JA |
| 15.2M | 15.2(4)M, 15.2(4)M1, 15.2(4)M10, 15.2(4)M2, 15.2(4)M3, 15.2(4)M4, 15.2(4)M5, 15.2(4)M6, 15.2(4)M7, 15.2(4)M8, 15.2(4)M9 |
| 15.2S | 15.2(1)S, 15.2(1)S0a, 15.2(1)S1, 15.2(1)S2, 15.2(2)S, 15.2(2)S0a, 15.2(2)S0b, 15.2(2)S0c, 15.2(2)S0d, 15.2(2)S1, 15.2(2)S2, 15.2(4)S, 15.2(4)S0c, 15.2(4)S0xb, 15.2(4)S1, 15.2(4)S1c, 15.2(4)S2, 15.2(4)S2t, 15.2(4)S3, 15.2(4)S4, 15.2(4)S5, 15.2(4)S6 |
| 15.2SA | 15.2(1)SA, 15.2(2)SA |
| 15.2SB | 15.2(1)SB, 15.2(1)SB1, 15.2(1)SB2, 15.2(1)SB3, 15.2(1)SB4 |
| 15.2SC | 15.2(1)SC, 15.2(1)SC1 |
| 15.2SNG | 15.2(2)SNG |
| 15.2SNH | 15.2(2)SNH, 15.2(2)SNH1 |
| 15.2SNI | 15.2(2)SNI |
| 15.2T | 15.2(2)T1, 15.2(2)T2, 15.2(2)T3, 15.2(2)T4, 15.2(3)T1, 15.2(3)T2, 15.2(3)T3, 15.2(3)T4 |
| 15.2XB | 15.2(4)XB10, 15.2(4)XB11 |
| Affected 15.3-Based Cisco IOS and Cisco IOS XE Releases | Affected Cisco IOS and Cisco IOS XE Versions |
| 15.3T | 15.3(1)T, 15.3(1)T1, 15.3(1)T2, 15.3(1)T3, 15.3(1)T4, 15.3(2)T, 15.3(2)T1, 15.3(2)T2 |
| 15.3S | 15.3(1)S, 15.3(2)S, 15.3(3)S |
| Affected 15.4-Based Cisco IOS and Cisco IOS XE Releases | Affected Cisco IOS and Cisco IOS XE Versions |
| 15.4S | 15.4(1)S |
本ドキュメントは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本ドキュメントの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本ドキュメントの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
| Revision 1.1 | 2013-March-22 | Added Bug ID and table of affected releases. |
| Revision 1.0 | 2013-March-18 | Initial public release. |
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコ ワールドワイド Web サイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページには、シスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。