2008 年 9 月 25 日 - ライター翻訳版
その他のバージョン: PDF 英語版 (2005 年 1 月 29 日) | フィードバック
Revision 1.1
目次
要約 該当製品 詳細 影響 ソフトウェアバージョンおよび修正 修正ソフトウェアの入手 回避策 不正利用事例と公表 この通知のステータス:FINAL 情報配信 更新履歴 シスコ セキュリティ手順
シスコ IOS が稼動する製品で Border Gateway Protocol(BGP) の設定がされているものは、 特異な BGP パケットによるサービス妨害攻撃
(Denial of Service (DOS) attack) に 対して脆弱性が存在します。BGP プロトコルはデフォルトでは製品上に設定されていないため、
明示的に特定のピアを設定し、そのトラフィックを受信する必要があります。 悪意のあるパケットが、設定された信頼できるピアを
送信元としたものに見えない限り、 特異なパケットを受け入れるのは困難です。
シスコではこの問題を解決するソフトウェアを無償でご提供しています。
本脆弱性は CERT/CC VU#689326 にて管理されています。
本アドバイザリは以下にて確認可能です。
http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml
脆弱性が存在する製品
本脆弱性は BGP をサポートしている、修正の施されていないすべての IOS バージョン
(9.x, 10.x, 11.x そして 12.x) に存在し、BGP ルーティングが設定されており、
かつ
bgp log-neighbor-changes コマンドが設定されたすべてのシスコ製品に影響があります。
なお、
bgp log-neighbor-changes コマンドは 12.0(22)S, 12.0(11)ST, 12.1(10)E, 12.1(10) 以降は
デフォルトで有効となっております。
Cisco IOS XR も本脆弱性の影響を受けます。
BGP ルーティングが設定されている製品では、設定上に以下の2つコマンドラインが存在しているものが該当し、
その確認方法は "
show running-config " を実行し以下の2つコマンドラインを確認することです。
router bgp <AS番号>
bgp log-neighbor-changes
シスコ機器において稼動しているソフトウェアを確認するには、機器にログインし、
"
show version " コマンドによりシステムバナーを表示させてください。Cisco IOS ソフ
トウェアの場合 "Internetwork Operating System Software" もしくは "IOS
(R) " と表示さ
れます。次の出力ラインでは、括弧の間にイメージの名前、"Version" および IOS のリ
リース名が続きます。他のシスコ機器の場合 "
show version " コマンドが存在しないか、
違う出力結果が表示されます。
以下の例はイメージ名 C2500-IS-L がインストールされ、IOS リリース 12.0(3) が稼動
しているシスコ機器を表しています。リリーストレインラベルは "12.0" です。
Cisco Internetwork Operating System Software IOS (TM)
次の例はイメージ名が C2600-JS-MZ で 12.0(2a)T1 の IOS リリースが稼動している機器です。
Cisco Internetwork Operating System Software IOS (tm)
Cisco IOS の命名に関するさらなる情報は以下の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html
Cisco Guard など Cisco IOS が稼動しない製品には本脆弱性は存在しないことが確認されています。
BGP (ピアリング) に組み込まれない製品や BGP の設定が不可能な製品に本脆弱性は存在しないことが確認されています。
その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。
Border Gateway Protocol (BGP) は、RFC1771 で規定されたルーティングプロトコルで、
大規模ネットワークにおける IP ルーティングを管理するために設計されたものです。
脆弱性のあるバージョンのシスコIOS ソフトウェアが稼動し、BGP プロトコルを設定している該当シスコ製品で、
特異な BGP パケットがインターフェイスにキューされた状態で BGP neighbor change がログされる際に
再起動が発生します。特異なパケットは必ずしも不正な送信元から届くとは限らず、他の BGP ルータなど
正当なピアリング対向機器からエラーにより誤って特異なパケットが届き、本脆弱性の影響が出ることもあります。
BGP は、メッセージの交換がなされる前に有効な 3-way handshake が要求されるような信頼性のある
トランスポートプロトコルである TCP 上で動作しております。シスコ IOS ソフトウェアの BGP 実装は、
コネクションの確立の前に明示的な BGP Neighbor の定義が必要で、トラフィックはその BGP Neighbor
から来るようにする必要があります。この実装により不当な送信元からの
BGP パケットを受信することを非常に難しくしています。
本不具合は遠隔から攻撃可能ではないと考えられる他のトリガによって発生する場合もあります。 特異なパケットをすでに受信していた場合、
show ip bgp neighbors や
debug ip bgp updates コマンドによって、ルータの再起動が発生する可能性があります。
シスコ IOS 製品が特異な BGP パケットを受信した際に、再起動し完全に機能するようになるまで数分を要します。 本脆弱性を繰り返し利用することにより、結果としてサービス妨害攻撃となる可能性があります。 本脆弱性は Bug
ID CSCee67450 (
登録 ユーザのみ)としてドキュメントされています。
Graceful Restart が設定されている場合、パケット転送には影響はありません。
IOS XR では、利用者が明示的に BGP プロセスを必須 (mandatory) と設定しない限り IOS XR 製品の再起動は
発生しません。デフォルトでは BGP process は必須 (mandatory) ではありません。
IOS における本脆弱性を利用することで、製品を再起動する事が出来ます。 連続した脆弱性の利用によりサービス妨害攻撃となる可能性があります。
IOS XR における本脆弱性を利用することで、BGP プロセスを再起動する事が出来ます。 連続した脆弱性の利用によりサービス妨害攻撃となる可能性があります。製品の他のサービスは影響 を受けません。
ソフトウェアアップグレードをご検討される際には、以下も併せてご参照ください。
http://www.cisco.com/en/US/products/products_security_advisories_listing.html
製品がアップグレードに必要なメモリを実装しているか、
現行のハードウェアとソフトウェアの構成が新リリースでもサポートされているか
を十分ご確認ください。ご不明な点がありましたら、Cisco Technical Assistance Center (TAC) までご連絡ください。
IOS XR ソフトウエアをご利用いただいているお客様で修正ソフトウェアが必要な場合は
Cisco TAC までご連絡ください。
主要リリース
主要リリース 修正ソフトウェアの
該当の 12.0 ベースのリリース
リビルド
メンテナンス
12.0
12.0(28b)
12.0DA
Vulnerable; contact TAC
12.0DB
Migrate to 12.3(4)T11 or later
12.0DC
Migrate to 12.3(4)T11 or later
12.0S
12.0(26)S5
12.0(27)S4
12.0(28)S1
12.0(29)S
12.0SC
Vulnerable; contact TAC
12.0SP
Migrate to 12.0S or later
12.0ST
Migrate to 12.0(26)S5 or later
12.0SX
Vulnerable; contact TAC
12.0SY
Migrate to 12.0(26)S5 or later
12.0SZ
Migrate to 12.0(26)S5 or later
12.0W5
12.0(28)W5
(31)
12.0WC
Vulnerable; contact TAC
12.0WT
Vulnerable; contact TAC
12.0WX
Vulnerable; contact TAC
12.0XA
Migrate to 12.1 latest
12.0XB
Migrate to 12.0(1)T or later
12.0XC
Migrate to 12.1 latest
12.0XD
Migrate to 12.1 latest
12.0XE
Migrate to 12.1E latest
12.0XF
Vulnerable; contact TAC
12.0XG
Migrate to 12.1 latest
12.0XH
Migrate to 12.1 or later
12.0XI
Migrate to 12.1 or later
12.0XJ
Migrate to 12.1 latest
12.0XK
Migrate to 12.2 latest
12.0XL
Migrate to 12.2 latest
12.0XM
Migrate to 12.1 or later
12.0XN
Migrate to 12.1 latest
12.0XP
Vulnerable; contact TAC
12.0XQ
Migrate to 12.1 or later
12.0XR
Migrate to 12.2 latest
12.0XS
Migrate to 12.1E latest
12.0XT
Vulnerable; contact TAC
12.0XU
Vulnerable; contact TAC
12.0XV
Migrate to 12.1 or later
該当の 12.1 ベースのリリース
リビルド
メンテナンス
12.1
12.1(26)
12.1AA
Migrate to 12.2 latest
12.1AX
12.1(14)AX3
12.1AY
Migrate to 12.1(22)EA2 or later
12.1AZ
Migrate to 12.1(22)EA2 or later
12.1DA
Vulnerable; contact TAC
12.1DB
Migrate to 12.3(4)T11 or later
12.1DC
Migrate to 12.3(4)T11 or later
12.1E
12.1(22)E3
12.1(23)E2
12.1(26)E
12.1EA
12.1(22)EA2
12.1EC
Vulnerable; contact TAC
12.1EO
Vulnerable; contact TAC
12.1EV
Migrate to 12.2S latest
12.1EW
Migrate to 12.2(18)EW2 or later
12.1EX
Migrate to 12.1E latest
12.1EY
Migrate to 12.1E latest
12.1T
Migrate to 12.2 or later
12.1XA
Migrate to 12.2 or later
12.1XB
Migrate to 12.2 or later
12.1XC
Migrate to 12.2 or later
12.1XD
Migrate to 12.2 or later
12.1XE
Migrate to 12.1E latest
12.1XF
Migrate to 12.3 or later
12.1XG
Migrate to 12.3 or later
12.1XH
Migrate to 12.2 or later
12.1XI
Migrate to 12.2 latest
12.1XJ
Migrate to 12.3 or later
12.1XL
MMigrate to 12.3 or later
12.1XM
Migrate to 12.3 or later
12.1XP
Migrate to 12.3 or later
12.1XQ
Migrate to 12.3 or later
12.1XR
Migrate to 12.3 or later
12.1XT
Migrate to 12.3 or later
12.1XU
Migrate to 12.3 or later
12.1XV
Vulnerable; contact TAC
12.1YA
Migrate to 12.3 or later
12.1YB
Migrate to 12.3 or later
12.1YC
Migrate to 12.3 or later
12.1YD
Migrate to 12.3 or later
12.1YE
Migrate to 12.3 or later
12.1YF
Migrate to 12.3 or later
12.1YH
Migrate to 12.3 or later
12.1YI
Migrate to 12.2(2)YC or later
12.1YJ
Migrate to 12.1(22)EA2 or later
該当の 12.2 ベースのリリース
リビルド
メンテナンス
12.2
12.2(27)
12.2B
Migrate to 12.3(4)T11 or later
12.2BC
Vulnerable; contact TAC
12.2BW
Migrate to 12.3 or later
12.2BX
Migrate to 12.3(7)XI3 -- Available 2/15/05
12.2BY
Migrate to 12.3(4)T11 or later
12.2BZ
Migrate to 12.3(7)XI3 -- Available 2/15/05
12.2CZ
Vulnerable; contact TAC
12.2DA
Vulnerable; contact TAC
12.2DD
Migrate to 12.3(4)T11 or later
12.2DX
Migrate to 12.3(4)T11 or later
12.2EW
12.2(18)EW2
12.2(25)EW
12.2JK
12.2(15)JK2
12.2MB
Migrate to 12.2(25)SW or later
12.2MC
Migrate to 12.3(11)T or later
12.2MX
Migrate to 12.3(8)T5 or later
12.2S
12.2(25)S
12.2SE
12.2(20)SE3
12.2SU
12.2(14)SU2
12.2SW
Migrate to 12.2(25)SW
12.2SX
Migrate to 12.2(17d)SXB5
12.2SXA
Migrate to 12.2(17d)SXB5
12.2SXB
12.2(17d)SXB5
12.2SXD
12.2(18)SXD2
12.2SY
Migrate to 12.2(17d)SXB5
12.2SZ
Migrate to 12.2(25)S or later
12.2T
Migrate to 12.3 or later
12.2XA
Migrate to 12.3 or later
12.2XB
Migrate to 12.3 or later
12.2XC
Migrate to 12.3 or later
12.2XD
Migrate to 12.3 or later
12.2XE
Migrate to 12.3 or later
12.2XF
Vulnerable; contact TAC
12.2XG
Migrate to 12.3 or later
12.2XH
Migrate to 12.3 or later
12.2XI
Migrate to 12.3 or later
12.2XJ
Migrate to 12.3 or later
12.2XK
Migrate to 12.3 or later
12.2XL
Migrate to 12.3 or later
12.2XM
Migrate to 12.3 or later
12.2XN
Migrate to 12.3 or later
12.2XQ
Migrate to 12.3 or later
12.2XS
Migrate to 12.3 or later
12.2XT
Migrate to 12.3 or later
12.2XU
Migrate to 12.3 or later
12.2XW
Migrate to 12.3 or later
12.2XZ
Migrate to 12.3 or later
12.2YA
12.2(4)YA8
12.2YB
Migrate to 12.3 or later
12.2YC
Migrate to 12.3 or later
12.2YE
Migrate to 12.2S or later
12.2YF
Migrate to 12.3 or later
12.2YG
Migrate to 12.3 or later
12.2YH
Migrate to 12.3 or later
12.2YJ
Migrate to 12.3 or later
12.2YK
Migrate to 12.3T or later
12.2YL
Migrate to 12.3T or later
12.2YM
Migrate to 12.3T or later
12.2YN
Migrate to 12.3T or later
12.2YO
Migrate to 12.2(17d)SXB5
12.2YP
Migrate to 12.3 or later
12.2YQ
Migrate to 12.3(4)T11 or later
12.2YR
Migrate to 12.3(4)T11 or later
12.2YS
Migrate to 12.3T or later
12.2YT
Migrate to 12.3 or later
12.2YU
Migrate to 12.3T or later
12.2YV
Migrate to 12.3(4)T11 or later
12.2YW
Migrate to 12.3(4)T11 or later
12.2YX
Migrate to 12.2(14)SU2 or later
12.2YY
Migrate to 12.3T or later
12.2YZ
Migrate to 12.2(25)S or later
12.2ZA
Migrates to 12.2(17d)SXB5 or 12.2(18)SXD2
12.2ZB
Migrate to 12.3T or later
12.2ZC
Migrate to 12.3T or later
12.2ZD
Migrate to 12.3 or later
12.2ZE
Migrate to 12.3 or later
12.2ZF
Migrate to 12.3(4)T11 or later
12.2ZG
Migrate to 12.3(4)T11 or later
12.2ZH
Migrate to 12.3(4)T11 or later
12.2ZI
Migrate to 12.2(25)S or later
12.2ZJ
Migrate to 12.3T or later
12.2ZK
Migrate to 12.3T or later
12.2ZL
Migrate to 12.3(7)T7 or later
12.2ZN
Migrate to 12.3T or later
12.2ZO
Migrate to 12.3 or later
12.2ZP
Vulnerable; contact TAC
該当の 12.3 ベースのリリース
リビルド
メンテナンス
12.3
12.3(9c)
12.3(10a)
12.3(12)
12.3B
12.3(5a)B3
12.3BW
Migrate to 12.3(7)T7 or later
12.3T
12.3(4)T11
12.3(7)T7
12.3(8)T5
12.3(11)T
12.3XA
Migrate to 12.3(7)T7 or later
12.3XB
Migrate to 12.3(8)T5 or later
12.3XC
Migrate to 12.3(8)T5 or later
12.3XD
12.3(4)XD4
12.3XE
12.3(2)XE1
12.3XF
Migrate to 12.3(11)T or later
12.3XG
Migrate to 12.3(11)T or later
12.3XH
Migrate to 12.3(11)T or later
12.3XI
12.3(7)XI3 - Available 2/15/05
12.3XJ
Vulnerable; contact TAC
12.3XK
Vulnerable; contact TAC
12.3XL
Vulnerable; contact TAC
12.3XN
Vulnerable; contact TAC
12.3XQ
12.3(4)XQ1 Release date not yet determined
12.3XR
Vulnerable; contact TAC
12.3XS
12.3(7)XS2
12.3XU
12.3(8)XU4
12.3XV
Migrate to 12.3(11)T or later
12.3XX
12.3(8)XX1
12.3YA
12.3(8)YA1
12.3YC
Vulnerable; contact TAC
12.3YD
Vulnerable; contact TAC
12.3YE
Migrate to 12.3(4)T11 or later
12.3YF
Vulnerable; contact TAC
12.3YH
Vulnerable; contact TAC
12.3YJ
Vulnerable; contact TAC
12.3YL
Vulnerable; contact TAC
契約を有するお客様は、修正ソフトウェアが利用可能になり次第、通常の経路でそれを 入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の
ソフトウェアセンターから入手することができます。
http://www.cisco.com/tacpage/sw-center/
シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ機器を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソフトウェアアップグレードを入手してください。
シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサードパー
ティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入手できないお客様
は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に連絡し、修
正済ソフトウェアを入手してください。TAC への連絡先は以下の通りです。
+1 800 553 2447 (北米内からフリーダイヤル)
+1 408 526 7209 (北米以外からの有料通話)
e-mail: tac@cisco.com
無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を
提示してください。契約がないお客様の無償アップグレードは TAC を通して要求してく
ださい。
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは
"security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスなど、
その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。
http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html
お客様におかれましては、ご購入いただきましたフィーチャーセットに関してのみ
インストールいただくことができ、サポートさせていただきます。インストール、
ダウンロード、アクセス、その他ソフトウェアアップグレードされた場合は、
以下の Cisco Software License Term に従うことに同意したものとします。
http://www.cisco.com/public/sw-license-agreement.html http://www.cisco.com/public/sw-center/sw-usingswc.shtml
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィック
の性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に
展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様の
サービスプロバイダーやサポート組織にご相談ください。
* bgp log-neighbor-changes コマンドの削除 本機能は BGP ピアのステータスを監視するために利用され、その削除によってネットワークに対する
監視機能が限定される場合があります。
さらなる本コマンドの情報は以下より入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017d026.html#wp1040601
ネットワーキングのベスト・プラクティステクニックの適用によって、基幹設備への攻撃の可能性を
大幅に低減することができます。以下のベスト・プラクティスによってリスクを低減できます。
BGP MD5
通常の状態においては、TCP プロトコルの順序番号(sequence number)チェックのような 元々存在するセキュリティ要素では、困難ではあるものの捏造したパケットで本問題 を悪用することが可能です。シスコ IOS が稼動する製品で BGP MD5 認証を設定すること が脆弱な製品を保護するために有効な回避策になります。 この手法は正当な BGPピアが不正パケットを生成する場合には回避策とはなりません。
以下の例のように設定可能です:
router(config)# router bgp
router(config-router)# neighbor <IP_address> password <enter_your_secret_here>
両方のピアで同時に同一の MD5 secret 設定する必要があります。さもなくば 確立されている BGP
セッションが切断され、両方の装置で同一の secret が 設定されるまで、新しい BGP セッションが
確立されません。BGP の設定方法に 関する詳細な議論は、以下のドキュメントをご参照ください。
どのように BGP の設定するかについての詳細につきましては、以下のドキュメントを ご参照ください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a00800ca571.html
一旦 secret が設定された後は、定期的に変更するのが無難といえます。変更間隔はセキュリティーポリシーに依存しますが、 数ヶ月以内であることが望ましく、secret を変更する場合には、やはり両側の装置で同時に実行する必要があります。 例外は使用する IOS リリースに
CSCdx23494 (
登録 ユーザのみ)が組み込まれている場合 になります。この修正によって、 片方のみで MD5 secret が変更されても、BGP セッションは切断されません。しかし、その場合でも BGP update は、 両側の装置で 同一の secret が設定されるか、secret が両側の製品から削除されるまで、処理されません。
Infrastructure Access Lists (ACLs) の定義
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、 自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、 そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACLは、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティーと考えることが出来ます。 ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists" は、 アクセスリストによって基幹機器を守るためのガイドラインと、 推奨される導入方法が記載されています。
http://www.cisco.com/warp/public/707/iacl.html
IOS XR のための回避策
Cisco IOS XR は debug bgp を warning レベル以上に冗長 (verbose) 設定しない、あるいは、BGP neighbor ステートの
変動を logging しないことによって、本脆弱性のさらされないようにすることができます。
Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認 しておりません。本脆弱性は Cisco の内部テストで発見されました。
本アドバイザリーは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリーの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・
意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝
搬が行われる可能性があります。
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者 向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿 されています。
* cust-security-announce@cisco.com
* first-teams@first.org (includes CERT/CC)
* bugtraq@securityfocus.com
* vulnwatch@vulnwatch.org
* cisco@spot.colorado.edu
* cisco-nsp@puck.nether.net
* full-disclosure@lists.netsys.com
* comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲
載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに
対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最
新情報をご確認いただくことをお勧めいたします。
Revision 1.1
2005-Jan-29
IOS XR を該当製品に追加。
Revision 1.0
2005-Jan-26
初版
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およ
びシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス
コワールドワイドウェブサイトの
http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html
にアクセスしてください。 このページにはシスコのセキュリティ通知に関して
メディアが問い合わせる際の指示が掲載されています。
全てのシスコセキュリティアドバイザリは
http://www.cisco.com/go/psirt/ で確認することができます。
This notice is Copyright 2005 by Cisco Systems, Inc.
This notice may be redistributed freely after the release date given at the top of the text,
provided that redistributed copies are complete and unmodified,
and include all date and version information.
| 