Cisco Security Advisory: Cisco IOS MPLS VPN May Leak Information

2008 年 9 月 25 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2008 年 9 月 24 日) | フィードバック

Advisory ID: cisco-sa-20080924-vpn

http://www.cisco.com/cisco/web/support/JP/102/1021/1021569_cisco-sa-20080924-vpn-j.html

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.2

Last Updated 2009 April 16 2100 UTC (GMT)

For Public Release 2008 September 24 1600 UTC (GMT)


要約

Cisco IOSバージョン12.0S、12.2、12.3または 12.4が実行され、Multiprotocol Label Switching (MPLS) Virtual Private Networks (VPNs) または VPN Routing and Forwarding Lite (VRF Lite) が定義されており、Customer Edge (CE) と Provider Edge (PE)デバイス間で Border Gateway Protocol (BGP)を使用するデバイスは VPN間での情報の伝搬が可能になるかもしれません。

この脆弱性を軽減する緩和策があります。この問題は PEデバイスが拡張コミュニティを処理する際の論理エラーによって引き起こされます。この問題は攻撃者によって確定的に不正利用することはできません。Ciscoはこの脆弱性に対処するための無償のソフトアップデートをリリースしました。この脆弱性のための緩和策があります。

このアドバイザリは以下に掲載されます: http://www.cisco.com/cisco/web/support/JP/102/1021/1021569_cisco-sa-20080924-vpn-j.html

注: 2008年9月24日の IOSアドバイザリバンドル公開には 12の Security Advisoryが含まれています。そのうち11のアドバイザリはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処し、1つのアドバイザリはCisco Unified Communication Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。

個々の公開リンクは下記にリストされています:

該当製品

Cisco IOSバージョン12.0S、12.2、12.3 または 12.4が実行され、MPLS VPN または VRF Liteが定義された製品が影響を受ける可能性があります。

12.1 に基づく Cisco IOSリリース は影響を受けません。

脆弱性のある製品

MPLS VPN かVRF Liteが設定され、CEとPEデバイス間にBGPセッションを持ち、拡張コミュニティを処理する IOSデバイスに脆弱性が存在します。デバイスにMPLS VPNかVRF Liteが設定されると address-family ipv4 vrf <vrf-name>address-family ipv6 VRF <vrf-name>コマンドがデバイスのコンフィギュレーションに存在します。

以下はMPLS VPNが設定されたデバイスで実行されたコマンドを示します:

router# show running-config | include address-family [ipv4|ipv6]

address-family ipv4 vrf <vrf-name>

以下はPEとCE間のIPv4 BGPセッションが設定されたPEデバイスを示します:

router bgp <Local AS>
 address-family ipv4 vrf one
 neighbor <neighbor IP> remote-as < Remote AS>
 neighbor <neighbor IP> activate

Cisco製品で実行されているソフトウェアを判別するためには、機器にログインしてshow versionコマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアは "Internetwork Operating System Software" または単に "IOS" として表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、"Version"と IOSリリース名が表示されます。他のCisco機器は show versionコマンドがない場合や、異なる表示をする場合があります。

次の例ではCisco IOS Release 12.4(11)T2が実行されているCisco製品を確認できます:

Router#show version
Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T2, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Tue 01-May-07 04:19 by prod_rel_team

<output truncated>

Cisco IOSリリース命名規則のその他の情報は、以下のリンクの "White Paper: Cisco IOS Reference Guide" で確認できます: http://www.cisco.com/warp/public/620/1.html

脆弱性が存在しない製品

MPLS VPNまたはVRF Liteの設定されていないCisco製品はこの脆弱性によって影響を受けません。

IOSを実行しないCisco製品はこの脆弱性によって影響を受けません。Cisco IOS-XRは影響を受けせん。これ以外のシスコ製品において本アドバイザリーの影響を受けるものは現在確認されていません。

詳細

MPLS VPNは顧客がトラフィックを複数の隔離されたVPNに分離することを可能にするバーチャルネットワークを作成することを可能にします。それぞれのMPLS VPNのトラフィックはお互いに分離され、それによりバーチャル・プライベート・ネットワークを維持しています。

MPLSおよびMPLS VPNのさらなる情報は次のリンクを参照して下さい:http://www.cisco.com/en/US/products/ps6557/products_ios_technology_home.html

不具合はMPLS VPNの拡張コミュニティの処理にあります。拡張コミュニティが使用される場合、MPLS VPNはトラフィックを転送するのに誤って破損した route target (RT)を使用するかもしれません。もしこれが発生すると、トラフィックはある MPLS VPNから別のVPNにリークする可能性があります。

この脆弱性は、影響を受けるPEデバイスがMPLS VPN Virtual Routing and forwarding (VRF)で BGPセッションを持つときはいつでも存在します。このシナリオのもっとも一般的な例は次の2つです:
1) PEとCEデバイスの間のBGPがVRFの中で動作するMPLS VPN設定。
2)BGPが自律システム境界ルータ(ASBR)の間で動作するMPLS Inter-AS option A。

回避策セクションでの緩和はPEデバイスで拡張コミュニティのフィルターを行うことにより、MPLSが設定されたデバイスがそれを受け取ることを防ぎます。この脆弱性はCiscoバグID CSCee83237によりもたらされました。CSCee83237が含まれていないCisco IOSイメージはこの問題に対して脆弱ではありません。

この条件を攻撃者によって引き起こせないこと、また、VPN間のトラフィック・フローを制御する方法を提供しないことに留意することは重要です。この脆弱性はCiscoバグID CSCec12299 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) ID CVE-2008-3803が割り当てられています。

脆弱性スコア詳細

シスコは Common Vulnerability Scoring SystemCVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。シスコは以下の URLにてCVSSに関するFAQを提供しています。http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。http://intellishield.cisco.com/security/alertmanager/cvss

CSCec12299 - Corruption of ext communities when receiving over ipv4 EBGP session

Calculate the environmental score of CSCec12299
CVSS Base Score- 5.1
Access Vector Access Complexity Authentication Confidentiality Impact Integrity Impact Availability Impact
Network High None Partial Partial Partial
CVSS Temporal Score - 4.2
Exploitability Remediation Level Report Confidence
Functional Official-Fix Confirmed

影響

この脆弱性により、トラフィックがMPLS VPN間で不適切にルーティングされ、機密保持の違反の原因となるかもしれません。

ソフトウエアバージョン及び修正

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

Major Release

Availability of Repaired Releases

Affected 12.0-Based Releases

First Fixed Release

Recommended Release

12.0

Not Vulnerable

 
12.0DA

Not Vulnerable

 
12.0DB

Not Vulnerable

 
12.0DC

Not Vulnerable

 
12.0S

12.0(30)S5

12.0(31)S3

12.0(32)S

12.0(32)S11

12.0(33)S1

12.0SC

Not Vulnerable

 
12.0SL

Not Vulnerable

 
12.0SP

Not Vulnerable

 
12.0ST

Not Vulnerable

 
12.0SX

Vulnerable; first fixed in 12.0S

12.0(32)S11

12.0(33)S1

12.0SY

Not Vulnerable

 
12.0SZ

12.0(30)SZ4

12.0(32)S11

12.0(33)S1

12.0T

Not Vulnerable

 
12.0W

Not Vulnerable

 
12.0WC

Not Vulnerable

 
12.0WT

Not Vulnerable

 
12.0XA

Not Vulnerable

 
12.0XB

Not Vulnerable

 
12.0XC

Not Vulnerable

 
12.0XD

Not Vulnerable

 
12.0XE

Not Vulnerable

 
12.0XF

Not Vulnerable

 
12.0XG

Not Vulnerable

 
12.0XH

Not Vulnerable

 
12.0XI

Not Vulnerable

 
12.0XJ

Not Vulnerable

 
12.0XK

Not Vulnerable

 
12.0XL

Not Vulnerable

 
12.0XM

Not Vulnerable

 
12.0XN

Not Vulnerable

 
12.0XQ

Not Vulnerable

 
12.0XR

Not Vulnerable

 
12.0XS

Not Vulnerable

 
12.0XT

Not Vulnerable

 
12.0XV

Not Vulnerable

 
Affected 12.1-Based Releases

First Fixed Release

Recommended Release

There are no affected 12.1 based releases

Affected 12.2-Based Releases

First Fixed Release

Recommended Release

12.2

Not Vulnerable

 
12.2B

Not Vulnerable

 
12.2BC

Not Vulnerable

 
12.2BW

Not Vulnerable

 
12.2BX

Not Vulnerable

 
12.2BY

Not Vulnerable

 
12.2BZ

Not Vulnerable

 
12.2CX

Not Vulnerable

 
12.2CY

Not Vulnerable

 
12.2CZ

Not Vulnerable

 
12.2DA

Not Vulnerable

 
12.2DD

Not Vulnerable

 
12.2DX

Not Vulnerable

 
12.2EW

Not Vulnerable

 
12.2EWA

Not Vulnerable

 
12.2EX

Not Vulnerable

 
12.2EY

Not Vulnerable

 
12.2EZ

Not Vulnerable

 
12.2FX

Not Vulnerable

 
12.2FY

Not Vulnerable

 
12.2FZ

Not Vulnerable

 
12.2IRB

Not Vulnerable

 
12.2IXA

Vulnerable; migrate to any release in 12.2IXD

12.2(18)IXG

12.2IXB

Vulnerable; migrate to any release in 12.2IXD

12.2(18)IXG

12.2IXC

Vulnerable; migrate to any release in 12.2IXD

12.2(18)IXG

12.2IXD

Not Vulnerable

 
12.2IXE

Not Vulnerable

 
12.2IXF

Not Vulnerable

 
12.2IXG

Not Vulnerable

 
12.2JA

Not Vulnerable

 
12.2JK

Not Vulnerable

 
12.2MB

Not Vulnerable

 
12.2MC

Not Vulnerable

 
12.2S

12.2(30)S and later are vulnerable. 12.2(25)S and before are not vulnerable

12.2(33)SB2; Available on 26-SEP-08

12.2SB

12.2(28)SB5

12.2(31)SB2

12.2(31)SB3x

12.2(33)SB2; Available on 26-SEP-08

12.2SBC

Vulnerable; first fixed in 12.2SB

12.2(33)SB2; Available on 26-SEP-08

12.2SCA

Not Vulnerable

 
12.2SE

Not Vulnerable

 
12.2SEA

Not Vulnerable

 
12.2SEB

Not Vulnerable

 
12.2SEC

Not Vulnerable

 
12.2SED

Not Vulnerable

 
12.2SEE

Not Vulnerable

 
12.2SEF

Not Vulnerable

 
12.2SEG

Not Vulnerable

 
12.2SG

12.2(37)SG

12.2(46)SG1

12.2SGA

12.2(31)SGA8

12.2(31)SGA8

12.2SL

Not Vulnerable

 
12.2SM

12.2(29)SM2

12.2(29)SM4

12.2SO

Not Vulnerable

 
12.2SRA

Not Vulnerable

 
12.2SRB

Not Vulnerable

 
12.2SRC

Not Vulnerable

 
12.2SU

Not Vulnerable

 
12.2SV

12.2(29b)SV1

 
12.2SVA

Not Vulnerable

 
12.2SVC

Not Vulnerable

 
12.2SVD

Not Vulnerable

 
12.2SW

Not Vulnerable

 
12.2SX

Not Vulnerable

 
12.2SXA

Not Vulnerable

 
12.2SXB

Not Vulnerable

 
12.2SXD

Not Vulnerable

 
12.2SXE

Vulnerable; first fixed in 12.2SXF

12.2(18)SXF15

12.2SXF

12.2(18)SXF3

12.2(18)SXF15

12.2SXH

Not Vulnerable

 
12.2SY

Not Vulnerable

 
12.2SZ

Not Vulnerable

 
12.2T

Not Vulnerable

 
12.2TPC

Not Vulnerable

 
12.2XA

Not Vulnerable

 
12.2XB

Not Vulnerable

 
12.2XC

Not Vulnerable

 
12.2XD

Not Vulnerable

 
12.2XE

Not Vulnerable

 
12.2XF

Not Vulnerable

 
12.2XG

Not Vulnerable

 
12.2XH

Not Vulnerable

 
12.2XI

Not Vulnerable

 
12.2XJ

Not Vulnerable

 
12.2XK

Not Vulnerable

 
12.2XL

Not Vulnerable

 
12.2XM

Not Vulnerable

 
12.2XN

Not Vulnerable

 
12.2XNA

Not Vulnerable

 
12.2XNB

Not Vulnerable

 
12.2XO

Not Vulnerable

 
12.2XQ

Not Vulnerable

 
12.2XR

Not Vulnerable

 
12.2XS

Not Vulnerable

 
12.2XT

Not Vulnerable

 
12.2XU

Not Vulnerable

 
12.2XV

Not Vulnerable

 
12.2XW

Not Vulnerable

 
12.2YA

Not Vulnerable

 
12.2YB

Not Vulnerable

 
12.2YC

Not Vulnerable

 
12.2YD

Not Vulnerable

 
12.2YE

Not Vulnerable

 
12.2YF

Not Vulnerable

 
12.2YG

Not Vulnerable

 
12.2YH

Not Vulnerable

 
12.2YJ

Not Vulnerable

 
12.2YK

Not Vulnerable

 
12.2YL

Not Vulnerable

 
12.2YM

Not Vulnerable

 
12.2YN

Not Vulnerable

 
12.2YO

Not Vulnerable

 
12.2YP

Not Vulnerable

 
12.2YQ

Not Vulnerable

 
12.2YR

Not Vulnerable

 
12.2YS

Not Vulnerable

 
12.2YT

Not Vulnerable

 
12.2YU

Not Vulnerable

 
12.2YV

Not Vulnerable

 
12.2YW

Not Vulnerable

 
12.2YX

Not Vulnerable

 
12.2YY

Not Vulnerable

 
12.2YZ

Not Vulnerable

 
12.2ZA

Not Vulnerable

 
12.2ZB

Not Vulnerable

 
12.2ZC

Not Vulnerable

 
12.2ZD

Not Vulnerable

 
12.2ZE

Not Vulnerable

 
12.2ZF

Not Vulnerable

 
12.2ZG

Not Vulnerable

 
12.2ZH

Not Vulnerable

 
12.2ZJ

Not Vulnerable

 
12.2ZL

Not Vulnerable

 
12.2ZP

Not Vulnerable

 
12.2ZU

Not Vulnerable

 
12.2ZX

Vulnerable; first fixed in 12.2SB

12.2(33)SB2; Available on 26-SEP-08

12.2ZY

Not Vulnerable

 
12.2ZYA

Not Vulnerable

 
Affected 12.3-Based Releases

First Fixed Release

Recommended Release

12.3

Not Vulnerable

 
12.3B

Not Vulnerable

 
12.3BC

Not Vulnerable

 
12.3BW

Not Vulnerable

 
12.3EU

Not Vulnerable

 
12.3JA

Not Vulnerable

 
12.3JEA

Not Vulnerable

 
12.3JEB

Not Vulnerable

 
12.3JEC

Not Vulnerable

 
12.3JK

Not Vulnerable

 
12.3JL

Not Vulnerable

 
12.3JX

Not Vulnerable

 
12.3T

Vulnerable; first fixed in 12.4

12.4(15)T7

12.4(18c)

12.3TPC

Not Vulnerable

 
12.3VA

Not Vulnerable

 
12.3XA

Not Vulnerable

 
12.3XB

Not Vulnerable

 
12.3XC

Not Vulnerable

 
12.3XD

Not Vulnerable

 
12.3XE

Not Vulnerable

 
12.3XF

Not Vulnerable

 
12.3XG

Not Vulnerable

 
12.3XI

Not Vulnerable

 
12.3XJ

Not Vulnerable

 
12.3XK

Not Vulnerable

 
12.3XL

Vulnerable; first fixed in 12.4

12.4(15)T7

12.4(18c)

12.3XQ

Not Vulnerable

 
12.3XR

Not Vulnerable

 
12.3XS

Not Vulnerable

 
12.3XU

Not Vulnerable

 
12.3XW

Not Vulnerable

 
12.3XX

Not Vulnerable

 
12.3XY

Not Vulnerable

 
12.3XZ

Not Vulnerable

 
12.3YA

Not Vulnerable

 
12.3YD

Not Vulnerable

 
12.3YF

Vulnerable; first fixed in 12.3YX

12.3(14)YX13

12.4(15)T7

12.3YG

Not Vulnerable

 
12.3YH

Not Vulnerable

 
12.3YI

Not Vulnerable

 
12.3YJ

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.3YK

12.3(11)YK3

12.4(15)T7

12.3YM

12.3(14)YM10

12.3(14)YM13; Available on 30-SEP-08

12.3YQ

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.3YS

12.3(11)YS2

12.4(15)T7

12.3YT

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.3YU

Vulnerable; first fixed in 12.4XB

12.4(2)XB10

12.4(9)XG3

12.4(15)T7

12.3YX

12.3(14)YX7

12.3(14)YX13

12.3YZ

12.3(11)YZ2

 
12.3ZA

Not Vulnerable

 
Affected 12.4-Based Releases

First Fixed Release

Recommended Release

12.4

12.4(10c)

12.4(12a)

12.4(13)

12.4(3h)

12.4(5c)

12.4(7e)

12.4(8d)

12.4(18c)

12.4JA

Not Vulnerable

 
12.4JK

Not Vulnerable

 
12.4JL

Not Vulnerable

 
12.4JMA

Not Vulnerable

 
12.4JMB

Not Vulnerable

 
12.4JMC

Not Vulnerable

 
12.4JX

Not Vulnerable

 
12.4MD

Not Vulnerable

 
12.4MR

Not Vulnerable

 
12.4SW

12.4(11)SW1

12.4(15)SW2; Available on 28-SEP-08

12.4T

12.4(11)T2

12.4(15)T

12.4(2)T6

12.4(4)T8

12.4(6)T7

12.4(9)T3

12.4(15)T7

12.4XA

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.4XB

12.4(2)XB6

12.4(2)XB10

12.4XC

12.4(4)XC7

12.4(15)T7

12.4XD

12.4(4)XD7

12.4(4)XD11; Available on 26-SEP-08

12.4XE

12.4(6)XE3

12.4(15)T7

12.4XF

Not Vulnerable

 
12.4XG

12.4(9)XG2

12.4(9)XG3

12.4XJ

12.4(11)XJ2

12.4(15)T7

12.4XK

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.4XL

Not Vulnerable

 
12.4XM

Not Vulnerable

 
12.4XN

Not Vulnerable

 
12.4XP

Vulnerable; contact TAC

 
12.4XQ

Not Vulnerable

 
12.4XR

Not Vulnerable

 
12.4XT

12.4(6)XT1

12.4(15)T7

12.4XV

Not Vulnerable

 
12.4XW

Not Vulnerable

 
12.4XY

Not Vulnerable

 
12.4XZ

Not Vulnerable

 
12.4YA

Not Vulnerable

 

回避策

拡張コミュニティのフィルタリングをサポートしてるCisco IOSのバージョンを実行している顧客は、インバウンドBGPセッションでの RTエントリを削除するBGPルートマップを加えることによって route target (RT) の破損を防ぐことができます。

次の定義例は、PEデバイスの ipv4 address-familyに適用され、CEルータからの拡張コミュニティを取り除きます:

router bgp <Local AS>
  address-family ipv4 vrf one
  neighbor <neighbor IP> remote-as <Remote AS> 
  neighbor <neighbor IP> activate 
  neighbor <neighbor IP> route-map FILTER in
  exit-address-family
!
ip extcommunity-list 100 permit _RT.*_
!
!
route-map FILTER permit 10
  set extcomm-list 100 delete
! 

次の定義例は、PEデバイスの ipv6 address-familyに適用され、CEルータからの拡張コミュニティを取り除きます:

router bgp <Local AS>
  address-family ipv6 vrf one
  neighbor <neighbor IP> remote-as <Remote AS>
  neighbor <neighbor IP> activate
  neighbor <neighbor IP> route-map FILTER in
  exit-address-family
!
ip extcommunity-list 100 permit _RT.*_
!
!
route-map FILTER permit 10
  set extcomm-list 100 delete
! 

注: 拡張コミュニティのフィルタリング機能は特定の12.0Sおよび12.2SベースのCisco IOSリリースだけで利用できます。

このコンフィギュレーション変更を有効にするためには、PEとCE間のBGPセッションがクリアされる必要があります。

修正済みソフトウェアの入手

Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール: tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性は顧客によってCiscoに報告されました。この脆弱性は攻撃者によって確定的に引き起こすことはできません。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またCisco Systemsは本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。 http://www.cisco.com/cisco/web/support/JP/102/1021/1021569_cisco-sa-20080924-vpn-j.html

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

更新履歴

Revision 1.2

2009-April-16

Removed references to the combined software table, as it is now outdated.

Revision 1.1

2008-Nov-19

Updated configuration examples in Workarounds section.

Revision 1.0

2008-Sep-24

Initial public release

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。