Cisco Security Advisory: Crafted Packet Causes Reload on Cisco Routers

2005 年 1 月 28 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2005 年 1 月 28 日) | フィードバック

Revision 1.1

最終更新日 2005 年 1 月 28 日 18:00(GMT)

公開日 2005 年 1 月 26 日 16:00(GMT)


目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコ セキュリティ手順

要約

Multi Protocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)がサポートされている Internetwork Operating System(IOS)が稼動しているシスコ製ルータには、MPLS が設定されていないインターフェイスへの Denial of Service(Dos; サービス妨害)攻撃に対する脆弱性が存在します。 MPLS がサポートされているシステムでは、システムが MPLS 用に設定されていない場合でも、脆弱性が存在します。

本脆弱性が存在するのは、12.1T、12.2、12.2T、12.3 および 12.3T をベースにする Cisco IOS リリース トレインのみです。 12.1 メインライン、12.1E、さらに 12.1 より前のすべてのリリースをベースにするリリースには、脆弱性は存在しません。

シスコでは、本脆弱性に対処するための無償のソフトウェアを提供しています。

また、本脆弱性の影響を緩和する回避策もあります。

本脆弱性は、CERT/CC VU#583638 で管理されています。

本アドバイザリは以下にて確認可能です。http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml

該当製品

脆弱性が存在する製品

影響を受けるのは、MPLS がサポートされており、脆弱性が存在するバージョンの IOS が稼動する次の製品のみです。

  • 2600 および 2800 シリーズ ルータ
  • 3600、3700 および 3800 シリーズ ルータ
  • 4500 および 4700 シリーズ ルータ
  • 5300、5350 および 5400 シリーズ アクセス サーバ

上記以外の製品は影響を受けません

MPLS は、IP および IP Plus の機能セットではサポートされていません。 そのため、IP または IP Plus のフィーチャーセットが搭載されている IOS バージョンが稼動する製品には、脆弱性は存在しません。

攻撃対象となるのは、MPLS トラフィック エンジニアリング用に設定されていないシステムおよび MPLS が設定されていないインターフェイスだけです。 MPLS が設定されているインターフェイスは、show mpls interfaces コマンドで判別できます。

MPLS がサポートされていないために影響を受けないシステムでは、次のような出力が表示されます。

Router#show mpls interfaces
             ^
  % Invalid input detected at '^' marker.

Router#

ルータで MPLS を設定する方法はいろいろあります。 次の出力では、ルータのインターフェイス Ethernet0/0 上の IP に対して MPLS が設定されていることが示されています。

  Router#show mpls interfaces
  Interface              IP            Tunnel   Operational
  Ethernet0/0            Yes (tdp)     No       Yes
  Router#

あるインターフェイスで IP に対する MPLS を設定すると、ルータはそのインターフェイスからの攻撃に対しては耐性を持ちますが、他のインターフェイスからの攻撃には脆弱性が存在します。 ルータのすべてのインターフェイスの IP に対して MPLS を設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。 IP に対する MPLS が設定されているインターフェイスの場合は、その設定に mpls ip コマンドまたは tag-switching ip コマンドが含まれています。

MPLS Traffic Engineering(TE; トラフィック エンジニアリング)を使用すれば、本脆弱性に対してより強力な防御が提供されます。 MPLS TE をグローバルに設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。 MPLS TE を設定しているルータの場合は、show running-config の出力に mpls traffic-eng tunnels コマンドが含まれています。

脆弱性が存在しないことが確認されている製品

  • Cisco IOS が稼動していない製品には脆弱性が存在しません
  • Cisco IOS バージョン 12.0 以前および 12.1 メインラインが稼動している製品には、脆弱性は存在しません。
  • 該当製品のセクションで言及されていない製品(Cisco 7200、7500、12000 シリーズおよび Catalyst システムなど、ただし、これらの製品だけではありません)には、脆弱性は存在しません。

その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。

詳細

Multi Protocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は、(『Open System Interconnection(OSI)参照モデル』に定義されている)レイヤ 2 の情報をレイヤ 3 に統合する、ベンダーに依存しないプロトコルです。MPLS の詳細は、http://www.cisco.com/warp/public/732/Tech/mpls を参照してください。

MPLS が設定されていないインターフェイスで受信した MPLS パケットの処理に脆弱性が存在します。 MPLS トラフィック エンジニアリング用に設定されたルータは、どのインターフェイスからの攻撃にも耐性があります。

MPLS が設定されていないインターフェイスで巧妙に細工されたパケットを受信するとシスコ製機器が再起動されるので、完全に機能が回復するまでに数分かかる場合があります。 本脆弱性を繰り返し悪用されると、結果的には継続的な Dos 攻撃となる可能性があります。 この問題は、Bug ID CSCeb56909登録ユーザのみ)および CSCec86420登録ユーザのみ)で文書化されています。

そのような巧妙に細工されたパケットを送信できるのは、ローカル ネットワーク セグメントからのみです。

影響

本脆弱性が悪用された場合、機器が再起動する結果となる場合があります。 繰り返し悪用された場合、結果的に Dos 攻撃が継続することになる可能性があります。

ソフトウェアバージョンおよび修正

メジャー リリース

修正済みリリースの提供状況

影響を受ける 12.1 ベースのリリース

リビルド

メンテナンス

12.1DB

12.3(4)T 以降に移行します

12.1DC

12.3(4)T 以降に移行します

12.1T

12.2 以降に移行します

12.1XG

12.3 以降に移行します

12.1XI

12.2 以降に移行します

12.1XJ

12.3 以降に移行します

12.1XL

12.3 以降に移行します

12.1XM

12.3 以降に移行します

12.1XP

12.3 以降に移行します

12.1XQ

12.3 以降に移行します

12.1XR

12.3 以降に移行します

12.1XT

12.3 以降に移行します

12.1XU

12.3 以降に移行します

12.1XV

12.3 以降に移行します

12.1YA

12.3 以降に移行します

12.1YB

12.3 以降に移行します

12.1YC

12.3 以降に移行します

12.1YD

12.3 以降に移行します

12.1YE

12.3 以降に移行します

12.1YF

12.3 以降に移行します

12.1YH

12.3 以降に移行します

12.1YI

12.3 以降に移行します

影響を受ける 12.2 ベースのリリース

リビルド

メンテナンス

12.2

12.2(10g)

 

12.2(13e)

 

12.2(16f)

 

12.2(17d)

 

12.2(19b)

 

12.2(21a)

 
 

12.2(23)

12.2B

12.2(2)B 〜 12.2(4)B7 は 12.3 以降に移行します

12.2(4)B8 以降は 12.3(4)T 以降に移行します

12.2BC

12.2(15)BC2

 

12.2BW

12.3 以降に移行します

12.2BX

12.3(7)XI1 以降に移行します

12.2BY

12.3(4)T 以降に移行します

12.2BZ

12.3(7)XI1 以降に移行します

12.2CX

12.2(15)BC2 に移行します

12.2CY

12.2(15)BC2 に移行します

12.2CZ

12.2(15)CZ

12.2DA

12.2(12)DA6

 

12.2DD

12.3(4)T 以降に移行します

12.2DX

12.3(4)T 以降に移行します

12.2EW

 

12.2(18)EW

12.2EWA

 

12.2(20)EWA

12.2JA

 

12.2(15)JA

12.2JK

 

12.2(15)JK

12.2MB

12.2(19)SW に移行します

12.2MC

12.3(11)T に移行します

12.2MX

12.3(8)T 以降に移行します

12.2SU

 

12.2(14)SU

12.2SW

 

12.2(19)SW

12.2SY

12.2(17d)SXB 以降に移行します

12.2SZ

12.2(20)S4 に移行します

12.2T

12.2(13)T14

 

12.2(15)T7

 

12.2XA

12.3 以降に移行します

12.2XB

12.2(2)XB18

 

12.2XC

12.3T 以降に移行します

12.2XD

12.3 以降に移行します

12.2XE

12.3 以降に移行します

12.2XF

12.2(15)BC2 に移行します

12.2XG

12.3 以降に移行します

12.2XH

12.3 以降に移行します

12.2XI

12.3 以降に移行します

12.2XJ

12.3 以降に移行します

12.2XK

12.3 以降に移行します

12.2XL

12.3 以降に移行します

12.2XM

12.3 以降に移行します

12.2XN

12.3 以降に移行します

12.2XQ

12.3 以降に移行します

12.2XR

 

12.2(15)XR

12.2XS

12.3 以降に移行します

12.2XT

12.3 以降に移行します

12.2XU

12.3 以降に移行します

12.2XV

計画なし。

12.2XW

12.3 以降に移行します

12.2XZ

12.3 以降に移行します

12.2YA

12.2(4)YA8

 

12.2YB

12.3 以降に移行します

12.2YC

12.3 以降に移行します

12.2YD

12.3(8)T 以降に移行します

12.2YE

12.2(18)S 以降に移行します

12.2YF

12.3 以降に移行します

12.2YG

12.3 以降に移行します

12.2YH

12.3 以降に移行します

12.2YJ

12.3 以降に移行します

12.2YL

12.3T 以降に移行します

12.2YM

12.3T 以降に移行します

12.2YN

12.3T 以降に移行します

12.2YO

12.2(17d)SXB 以降に移行します

12.2YQ

12.3(4)T 以降に移行します

12.2YR

12.3(4)T 以降に移行します

12.2YS

12.3T 以降に移行します

12.2YU

12.3(2)T 以降に移行します

12.2YV

12.3(4)T 以降に移行します

12.2YW

12.3(2)T 以降に移行します

12.2YX

12.2(14)SU に移行します

12.2YZ

12.2(20)S4 に移行します

12.2ZB

12.3T 以降に移行します

12.2ZC

12.3T 以降に移行します

12.2ZD

12.3 以降に移行します

12.2ZE

12.3 以降に移行します

12.2ZF

12.3(4)T 以降に移行します

12.2ZG

12.3(4)T 以降に移行します

12.2ZH

12.3(4)T 以降に移行します

12.2ZI

12.2(18)S 以降に移行します

12.2ZJ

12.3T 以降に移行します

12.2ZL

12.3(7)T 以降に移行します

12.2ZN

12.3T 以降に移行します

12.2ZO

12.3 以降に移行します

12.2ZP

計画なし。

影響を受ける 12.3 ベースのリリース

リビルド

メンテナンス

12.3

12.3(3f)

 
 

12.3(5)

12.3B

 

12.3(5a)B4

12.3BC

 

12.3(9a)BC

12.3BW

12.3(5a)B 以降に移行します

12.3T

12.3(2)T5

 

12.3(4)T7

 
 

12.3(7)T

12.3XA

12.3(7)T 以降に移行します

12.3XB

12.3(8)T 以降に移行します

12.3XC

12.3(2)XC3 に移行します(提供日は未定)

12.3XD

12.3(4)XD

12.3XE

12.3(2)XE1

12.3XF

12.3(2)XF

12.3XG

12.3(4)XG1

 

12.3XH

12.3(4)XH

12.3XI

12.3(7)XI

12.3XJ

12.3(7)XJ

12.3XK

12.3(4)XK1

 

12.3XL

12.3(7)XL

12.3XM

12.3(7)XM

12.3XN

12.3(4)XN

12.3XQ

12.3(4)XQ

12.3XR

12.3(7)XR

12.3XS

12.3(7)XS

12.3XT

12.3(2)XT

12.3XU

12.3(8)XU

12.3XW

12.3(8)XW

12.3XX

12.3(8)XX

12.3XY

12.3(8)XY

12.3YA

12.3(8)YA

12.3YD

12.3(8)YD

12.3YE

12.3(4)YE

12.3YF

12.3(11)YF

12.3YG

12.3(8)YG

12.3YH

12.3(8)YH

     

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/en/US/products/products_security_advisories_listing.html およびそれ以降のアドバイザリも参照して、状況と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、Cisco Technical Assistance Center(TAC)にお問い合せください。

修正ソフトウェアの入手

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデートを入手するルートでアップグレードされたソフトウェアを入手できます。 通常は、http://www.cisco.com にあるシスコ Web サイトの Software Center からアップグレードを入手してください。

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、ソフトウェア アップグレードに関する支援を受けてください。この支援は通常無料です。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール:tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

ソフトウェアのアップグレードについては、「psirt@cisco.com」または「security-alert@cisco.com」には連絡しないでください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいた機能セットに対してだけです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様は http://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。 影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、サービス プロバイダーやサポート組織にご相談ください。

警告:この回避策を使用すると、ネットワークの運用に影響がある場合や問題が発生する場合があります。 そのため、影響がある場合には、ソフトウェアをアップグレードすることを強くお勧めします。 回避策を長期的な解決策として使用することはお勧めしません。

MPLS Traffic Engineering(MPLS TE; MPLS トラフィック エンジニアリング)をグローバルに設定することは、本脆弱性を緩和するための回避策として使用できます。 MPLS を動作させるには Cisco Express Forwarding(CEF; Cisco エクスプレス転送)が必要なので、MPLS TE を設定するには、まず CEF を設定する必要があります。

CEF と MPLS TE は、次のコマンドで設定できます。

Router(config)# ip cef
Router(config)# mpls traffic-eng tunnels

MPLS TE を設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。

不正利用事例と公表

Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用は確認しておりません。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。

 

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落による統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリは、以下のシスコのワールドワイド ウェブサイトト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml

ワールドワイド のウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト 版が、シスコ PSIRT PGP キーによるクリア署名付きで投稿されています。

  • cust-security-announce@cisco.com
  • first-teams@first.org(CERT/CC を含む)
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.netsys.com
  • comp.dcom.sys.cisco@newsgate.cisco.com
  • シスコ内部のさまざまなメーリング リスト

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.1

2005-January-28

要約セクションの記述の明確化。

ソフトウェアのバージョンおよび修正の表に、バージョン 12.2(15)T7 を追加。 ソフトウェアのバージョンおよび修正の表から、バージョン 12.2S、12.2SX、12.2SXA、12.2SXB および 12.2SXD を削除。

Revision 1.0

2005-January-26

初版

     

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコのワールドワイド ウェブサイトの

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

にアクセスしてください。このページには、シスコのセキュリティ通知に関して、メディアが問い合せる際の指示が掲載されています。

すべての シスコ セキュリティアドバイザリは、http://www.cisco.com/go/psirt で確認することができます。