Cisco Security Advisory: Crafted TCP Packet Can Cause Denial of Service

2007 年 1 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2007 年 1 月 26 日) | フィードバック

Revision 1.0a

最終更新日 2007年1月26日 7:00 UTC(GMT)

公開日 2007年1月24日 16:00 UTC (GMT)


Please provide your feedback on this document.


目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
回避策
修正ソフトウェアの入手
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順



要約 

特定バージョンの Cisco IOS ソフトウェアにおいてTransmission Control Protocol (TCP) 受信機器は、遠隔から悪用できるメモリリークが発生する脆弱性によってサービス妨害を引き起こされる可能性があります。

シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用のソフトウェアを無償で提供しています。

本脆弱性は Cisco IOS 機器を宛先とするトラフィックにのみ関係します。機器を通過するトラフィックは本脆弱性に該当しません。

シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。

この問題は、シスコ Bug ID CSCek37177(登録) ユーザーのみで文書化されています。

本脆弱性の影響を緩和する回避策 もあります。

本アドバイザリーは以下にて確認できます。
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟 齬がある場合には、英語原文が優先します。


該当製品

脆弱性が存在する製品

本脆弱性はシスコ IOS ソフトウェアが稼動するすべての機器に影響します。ただし、IPv4 を処理し TCP パケットを受信するように設定された機器のみが影響を受け、IPv6 のみが稼動する機器は影響を受けません。

本脆弱性は 9.x、10.x、11.x そして 12.x を含む未修正のシスコ IOS すべてに存在します。

シスコ製品で稼動中のソフトウェアを確認するには、機器にログインし show version コマンドを実行し、システムバナーを画面に表示します。
シスコ IOS ソフトウェアは "Internetwork Operating System Software" もしくは単に "IOS" と表示します。 そのすぐ後ろにイメージ名が括弧の間に 表示され(場合により改行されています)、続いて "Version" と IOS リリース名が表示されます。
IOS 以外の)他のシスコ製品は "show version" コマンドがない場合や、異なる表示をする場合があります。

以下の例は シスコ 7200ルーターで IOS リリース 12.2(14)S16、イメージ名 C7200-IS-M が稼動していることを示しています:

Cisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-IS-M), Version 12.2(14)S16, RELEASE SOFTWARE (fc1)

リリーストレインのラベルは "12.2" となっています。

次の例は シスコ 7200ルーターで IOS リリース 12.3(7)T、イメージ名 C7200-IK9S-M が稼動していることを示しています:

Cisco IOS Software, 7200 Software (C7200-IK9S-M), Version 12.3(7)T12, RELEASE SOFTWARE (fc1)

シスコ IOS のバナーに関するさらなる情報は以下の URL を参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_white_paper09186a008018305e.shtml#3

脆弱性が存在しない製品

IOS が稼動しないシスコ製品は影響を受けません。

Cisco IOS XR は本アドバイザリーの影響を受けません。

これ以外のシスコ製品において本アドバイザリーの影響を受けるものは現在確認されていません。


詳細

TCP はコネクション型の信頼性のあるデータ配送を提供するために設計されたトランスポート層のプロトコルです。それを実現するために TCP では状態を示すフラグとパケットを再構築する際にそれらを特定するためのシーケンス番号を使用します。TCP は次に到着するを期待するパケットのシーケンス番号を示すためのアクノレッジ番号も提供しています。TCP プロトコルの詳細については以下をご参照ください。
http://www.ietf.org/rfc/rfc0793.txt

TCP パケットを受信するように設定されたシスコ IOS 機器は影響を受けます。ただし、機器を通過するトラフィックは本アドバイザリに該当しません。

シスコ IOS が動作する機器の IPv4 アドレスが割り当てられた物理インターフェースまたは仮想インターフェースに向けられた、巧妙に細工された特定のパケットによって、機器に少量のメモリリークが引き起こされる可能性があります。時間が経過するとともにそのようなメモリリークによってメモリが枯渇し、潜在的にサービスの機能が損なわれることがあります。

本件は TCP の問題ですが、メモリリークを発生させるのに TCP の 3-way ハンドシェイクの完了を必要としません。したがって、送信元アドレスが捏造された TCP パケットであってもメモリリークを引き起こすことがあります。

機器のプロセッサーメモリ領域でメモリリークによる支障が発生しているか特定するためのさらな情報に関しましては、以下のドキュメントをご参照ください。
http://www.cisco.com/warp/public/63/mallocfail.shtml#tshoot2

脆弱性スコア詳細

シスコは Common Vulnerability Scoring System(CVSS) に基づいた脆弱性のスコアリングを提供しています。
シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。
Cisco PSIRT は重み付けパラメータ (Impact Bias) を全て Normal に設定しています。お客様はこれらの重み付けパラメータを利用し特定の脆弱性の影響を確認することが望まれます。
CVSS は脆弱性の深刻度を表現する標準のスコアリングの方法で、対応の緊急性や優先度を決定するのに役立ちます。
シスコは以下の URL で CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。 http://intellishield.cisco.com/security/alertmanager/cvss

CSCek37177 - malformed tcp packets deplete processor memory ( 登 録 ユーザーのみ)

Calculate the environmental score of CSCek37177

CVSS Base Score - 3.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Impact Bias

Remote

Low

Not Required

None

None

Complete

Normal

CVSS Temporal Score - 2.7

Exploitability

Remediation Level

Report Confidence

Functional

Official Fix

Confirmed

影響

脆弱性の利用に成功した場合、少量のメモリーリークが発生する可能性があり、その結果としてサービスレベルの低下が発生することがあります。
メモリーリークは時間が経過すれば解決するわけではなく、復帰には機器の再起動が必要になります。

本脆弱性はシスコ IOS が稼動する機器宛てのトラフィックのみ関係します。機器を通過するトラフィックを契機としてこの問題が発生することはありません。

ソフトウェアバージョンおよび修正

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。

以下の シスコ IOS ソフトウェアの表の各行は、対象となるリリーストレイン、プラットフォームおよび製品群を示します。あるリリーストレインが脆弱である場合、修正が組み込まれている最も早いリリース(最初に修正されたリリース)とそれが利用可能となる予定日が "Rebuild" and "Maintenance" の列に示されます。リリーストレインで示されたリリースより前のものを使用している機器は脆弱であることが知られています。使用するリリースは少なくとも示されたリリース以降へアップグレードすることが推奨されます。

"Rebuild" および "Maintenance" の用語に関する情報は以下をご参照ください。http://www.cisco.com/warp/public/620/1.html

注意:2007年1月24日に3つのIOS関連のSecurity AdvisoryとField Noticeが発行されます。個々のアドバイサリーはそのアドバイサリー内の問題を解決するリリースについてのみ記載しています。全ての修正が含まれたソフトウェア一覧はhttp://www.cisco.com/warp/public/707/cisco-sa-20070124-bundle.shtml にて確認できます。ここでは3つ全ての脆弱性に対応するソフトウェアリリースを選択することができます。1月24日に発行されるアドバイサリー及びField Notice は以下の通りです。

  • http://www.cisco.com/warp/public/707/cisco-sa-20070124-IOS-IPv6.shtml
  • http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml
  • http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-ip-option.shtml
  • http://www.cisco.com/warp/public/770/fn62613.shtml

サマータイム (DTS) の変更を含むソフトウェア・リビルドは 2007年3月に提供されます。これについてのリクエストは Technical Assistance Center(TAC)まで直接お問い合わせください。その際にこのアドバイサリーをリファレンスとしてご利用ください。

Major Release

Availability of Repaired Releases

Affected 12.0-Based Release

Rebuild

Maintenance

12.0

Vulnerable; migrate to 12.2(37) or later

12.0DA

Vulnerable; migrate to 12.2(10)DA5 or later

12.0DB

Vulnerable; migrate to 12.3(4)T13 or later

12.0DC

Vulnerable; migrate to 12.3(4)T13 or later

12.0S

12.0(31)S6

 

12.0(32)S4

 

12.0SC

Vulnerable; migrate to 12.3(13a)BC6 or later

12.0SL

Vulnerable; migrate to 12.0(31)S6 or later

12.0SP

Vulnerable; migrate to 12.0(31)S6 or later

12.0ST

Vulnerable; migrate to 12.0(31)S6 or later

12.0SX

12.0(25)SX11

 

12.0SY

 

12.0(32)SY

12.0SZ

Vulnerable; migrate to 12.0(31)S6 or later

12.0T

Vulnerable; migrate to 12.2(37) or later

12.0W

Not vulnerable

12.0WC

12.0(5)WC15

 

12.0WT

Not vulnerable

12.0XA

Vulnerable; migrate to 12.2(37) or later

12.0XB

Vulnerable; migrate to 12.2(37) or later

12.0XC

Vulnerable; migrate to 12.2(37) or later

12.0XD

Vulnerable; migrate to 12.2(37) or later

12.0XE

Vulnerable; migrate to 12.1(26)E7 or later

12.0XF

Not vulnerable

12.0XG

Vulnerable; migrate to 12.2(37) or later

12.0XH

Vulnerable; migrate to 12.2(37) or later

12.0XI

Vulnerable; migrate to 12.2(37) or later

12.0XJ

Vulnerable; migrate to 12.2(37) or later

12.0XK

Vulnerable; migrate to 12.2(37) or later

12.0XL

Vulnerable; migrate to 12.2(37) or later

12.0XM

Vulnerable; migrate to 12.2(37) or later

12.0XN

Vulnerable; migrate to 12.2(37) or later

12.0XQ

Vulnerable; migrate to 12.2(37) or later

12.0XR

Vulnerable; migrate to 12.2(37) or later

12.0XS

Vulnerable; migrate to 12.1(26)E7 or later

12.0XV

Vulnerable; migrate to 12.2(37) or later

12.0XW

Not vulnerable

Affected 12.1-Based Release

Rebuild

Maintenance

12.1

Vulnerable; migrate to 12.2(37) or later

12.1 AA

Vulnerable; migrate to 12.2(37) or later

12.1 AX

Vulnerable; migrate to 12.2(25)EY4 or later

12.1 AY

Vulnerable; migrate to 12.1(22)EA8 or later

12.1 AZ

Vulnerable; migrate to 12.1(22)EA8 or later

12.1 CX

Vulnerable; migrate to 12.2(37) or later

12.1 DA

Vulnerable; migrate to 12.2(10)DA5 or later

12.1 DB

Vulnerable; migrate to 12.3(4)T13 or later

12.1 DC

Vulnerable; migrate to 12.3(4)T13 or later

12.1E

12.1(26)E7

 

12.1(27b)E1

 

12.1EA

12.1(22)EA8

 

12.1EB

Vulnerable; contact TAC

12.1EC

Vulnerable; migrate to 12.3(13a)BC6 or later

12.1EO

12.1(19)EO6; available on 31-Jan-07

 

12.1(20)EO3

 

12.1EU

Vulnerable; migrate to 12.2(25)EWA6 or later

12.1EV

Vulnerable; migrate to 12.2(27)SV4 or later

12.1EW

Vulnerable; migrate to 12.2(25)EWA6 or later

12.1EX

Vulnerable; migrate to 12.1(26)E7 or later

12.1EY

Vulnerable; migrate to 12.1(26)E7 or later

12.1EZ

Vulnerable; migrate to 12.1(26)E7 or later

12.1T

Vulnerable; migrate to 12.2(37) or later

12.1XA

Vulnerable; migrate to 12.2(37) or later

12.1XB

Vulnerable; migrate to 12.2(37) or later

12.1XC

Vulnerable; migrate to 12.2(37) or later

12.1XD

Vulnerable; migrate to 12.2(37) or later

12.1XE

Vulnerable; migrate to 12.1(26)E7 or later

12.1XF

Vulnerable; migrate to 12.3(19) or later

12.1XG

Vulnerable; migrate to 12.3(19) or later

12.1XH

Vulnerable; migrate to 12.2(37) or later

12.1XI

Vulnerable; migrate to 12.2(37) or later

12.1XJ

Vulnerable; migrate to 12.3(19) or later

12.1XL

Vulnerable; migrate to 12.3(19) or later

12.1XM

Vulnerable; migrate to 12.3(19) or later

12.1XP

Vulnerable; migrate to 12.3(19) or later

12.1XQ

Vulnerable; migrate to 12.3(19) or later

12.1XR

Vulnerable; migrate to 12.3(19) or later

12.1XS

Vulnerable; migrate to 12.2(37) or later

12.1XT

Vulnerable; migrate to 12.3(19) or later

12.1XU

Vulnerable; migrate to 12.3(19) or later

12.1XV

Vulnerable; migrate to 12.3(19) or later

12.1XW

Vulnerable; migrate to 12.2(37) or later

12.1XX

Vulnerable; migrate to 12.2(37) or later

12.1XY

Vulnerable; migrate to 12.2(37) or later

12.1XZ

Vulnerable; migrate to 12.2(37) or later

12.1YA

Vulnerable; migrate to 12.3(19) or later

12.1YB

Vulnerable; migrate to 12.3(19) or later

12.1YC

Vulnerable; migrate to 12.3(19) or later

12.1YD

Vulnerable; migrate to 12.3(19) or later

12.1YE

Vulnerable; migrate to 12.3(19) or later

12.1YF

Vulnerable; migrate to 12.3(19) or later

12.1YH

Vulnerable; migrate to 12.3(19) or later

12.1YI

Vulnerable; migrate to 12.3(19) or later

12.1YJ

Vulnerable; migrate to 12.1(22)EA8 or later

Affected 12.2-Based Release

Rebuild

Maintenance

12.2

 

12.2(37)

12.2B

Vulnerable; migrate to 12.3(4)T13 or later

12.2BC

Vulnerable; migrate to 12.3(13a)BC6 or later

12.2BW

Vulnerable; migrate to 12.3(19) or later

12.2BY

Vulnerable; migrate to 12.3(4)T13 or later

12.2BZ

Vulnerable; migrate to 12.3(7)XI8 or later

12.2CX

Vulnerable; migrate to 12.3(13a)BC6 or later

12.2CY

Vulnerable; migrate to 12.3(13a)BC6 or later

12.2CZ

Vulnerable; contact TAC

12.2DA

12.2(10)DA5

 

12.2(12)DA10

 

12.2DD

Vulnerable; migrate to 12.3(4)T13 or later

12.2DX

Vulnerable; migrate to 12.3(4)T13 or later

12.2EU

Vulnerable; migrate to 12.2(25)EWA6 or later

12.2EW

Vulnerable; migrate to 12.2(25)EWA6 or later

12.2EWA

12.2(25)EWA6

 

12.2EX

12.2(25)EX1

 

12.2EY

12.2(25)EY4

 

12.2EZ

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2FX

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2FY

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2FZ

All 12.2FZ releases are fixed

12.2IXA

Vulnerable; contact TAC

12.2IXB

Vulnerable; contact TAC

12.2IXC

Vulnerable; contact TAC

12.2JA

Vulnerable; migrate to 12.3(8)JA2 or later

12.2JK

Vulnerable; migrate to 12.4(4)T4 or later

12.2MB

Vulnerable; migrate to 12.2(25)SW8 or later

12.2MC

Vulnerable; migrate to 12.3(11)T11 or later

12.2S

12.2(25)S12; Available 12-Feb-07

 

12.2SB

12.2(28)SB2

12.2(31)SB

12.2SBC

12.2(27)SBC5

 

12.2SE

 

12.2(35)SE

12.2SEA

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2SEB

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2SEC

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2SED

Vulnerable; migrate to 12.2(25)SEE1 or later

12.2SEE

12.2(25)SEE1

 

12.2SEF

12.2(25)SEF1

 

12.2SEG

All 12.2SEG releases are fixed

12.2SG

 

12.2(37)SG; Available 25-Apr-07

12.2SGA

All 12.2SGA releases are fixed

12.2SO

12.2(18)SO7

 

12.2SRA

All 12.2SRA releases are fixed

12.2SRB

All 12.2SRB releases are fixed

12.2SU

Vulnerable; migrate to 12.4(8) or later

12.2SV

12.2(27)SV4

 

12.2(28)SV1

 

12.2(29)SV1

 

12.2SW

12.2(25)SW8

 

12.2SX

Vulnerable; migrate to 12.2(18)SXD7a or later

12.2SXA

Vulnerable; migrate to 12.2(18)SXD7a or later

12.2SXB

Vulnerable; migrate to 12.2(18)SXD7a or later

12.2SXD

12.2(18)SXD7a

 

12.2SXE

12.2(18)SXE6

 

12.2SXF

12.2(18)SXF5

 

12.2SY

Vulnerable; migrate to 12.2(18)SXD7a or later

12.2SZ

Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07

12.2T

Vulnerable; migrate to 12.3(19) or later

12.2TPC

Vulnerable; contact TAC

12.2XA

Vulnerable; migrate to 12.3(19) or later

12.2XB

Vulnerable; migrate to 12.3(19) or later

12.2XC

Vulnerable; migrate to 12.3(4)T13 or later

12.2XD

Vulnerable; migrate to 12.3(19) or later

12.2XE

Vulnerable; migrate to 12.3(19) or later

12.2XF

Vulnerable; migrate to 12.3(13a)BC6 or later

12.2XG

Vulnerable; migrate to 12.3(19) or later

12.2XH

Vulnerable; migrate to 12.3(19) or later

12.2XI

Vulnerable; migrate to 12.3(19) or later

12.2XJ

Vulnerable; migrate to 12.3(19) or later

12.2XK

Vulnerable; migrate to 12.3(19) or later

12.2XL

Vulnerable; migrate to 12.3(19) or later

12.2XM

Vulnerable; migrate to 12.3(19) or later

12.2XN

Vulnerable; migrate to 12.3(19) or later

12.2XQ

Vulnerable; migrate to 12.3(19) or later

12.2XR

Vulnerable; migrate to 12.3(19) or later

12.2XS

Vulnerable; migrate to 12.3(19) or later

12.2XT

Vulnerable; migrate to 12.3(19) or later

12.2XU

Vulnerable; migrate to 12.3(19) or later

12.2XV

Vulnerable; migrate to 12.3(19) or later

12.2XW

Vulnerable; migrate to 12.3(19) or later

12.2YA

Vulnerable; migrate to 12.3(19) or later

12.2YB

Vulnerable; migrate to 12.3(19) or later

12.2YC

Vulnerable; migrate to 12.3(19) or later

12.2YD

Vulnerable; migrate to 12.3(11)T11 or later

12.2YE

Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07

12.2YF

Vulnerable; migrate to 12.3(19) or later

12.2YG

Vulnerable; migrate to 12.3(19) or later

12.2YH

Vulnerable; migrate to 12.3(19) or later

12.2YJ

Vulnerable; migrate to 12.3(19) or later

12.2YK

Vulnerable; migrate to 12.3(4)T13 or later

12.2YL

Vulnerable; migrate to 12.3(4)T13 or later

12.2YM

Vulnerable; migrate to 12.3(4)T13 or later

12.2YN

Vulnerable; migrate to 12.3(4)T13 or later

12.2YO

Not vulnerable

12.2YP

Vulnerable; migrate to 12.3(19) or later

12.2YQ

Vulnerable; migrate to 12.3(4)T13 or later

12.2YR

Vulnerable; migrate to 12.3(4)T13 or later

12.2YS

Not vulnerable

12.2YT

Vulnerable; migrate to 12.3(19) or later

12.2YU

Vulnerable; migrate to 12.3(4)T13 or later

12.2YV

Vulnerable; migrate to 12.3(4)T13 or later

12.2YW

Vulnerable; migrate to 12.3(4)T13 or later

12.2YX

Vulnerable; migrate to 12.4(8) or later

12.2YY

Vulnerable; migrate to 12.3(4)T13 or later

12.2YZ

Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07

12.2ZA

Vulnerable; migrate to 12.2(18)SXD7a or later

12.2ZB

Vulnerable; migrate to 12.3(4)T13 or later

12.2ZC

Vulnerable; migrate to 12.3(4)T13 or later

12.2ZD

Vulnerable; contact TAC

12.2ZE

Vulnerable; migrate to 12.3(19) or later

12.2ZF

Vulnerable; migrate to 12.3(4)T13 or later

12.2ZG

Vulnerable; contact TAC

12.2ZH

Vulnerable; contact TAC

12.2ZJ

Vulnerable; migrate to 12.3(4)T13 or later

12.2ZL

Vulnerable; contact TAC

12.2ZN

Vulnerable; migrate to 12.3(4)T13 or later

12.2ZP

Vulnerable; migrate to 12.4(8) or later

Affected 12.3-Based Release

Rebuild

Maintenance

12.3

12.3(10f)

12.3(19)

12.3B

Vulnerable; migrate to 12.3(11)T11 or later

12.3BC

12.3(13a)BC6

 

12.3(17a)BC2

 

12.3BW

Vulnerable; migrate to 13.3(11)T11 or later

12.3JA

12.3(8)JA2

 

12.3JEA

All 12.3JEA releases are fixed

12.3JEB

All 12.3JEB releases are fixed

12.3JK

12.3(2)JK2

 

12.3JX

12.3(7)JX4

12.3(11)JX

12.3T

12.3(4)T13

 

12.3(11)T11

 

12.3TPC

Vulnerable; contact TAC

12.3XA

Vulnerable; contact TAC

12.3XB

Vulnerable; migrate to 12.3(11)T11 or later

12.3XC

Vulnerable; contact TAC

12.3XD

Vulnerable; migrate to 12.3(11)T11 or later

12.3XE

Vulnerable; contact TAC

12.3XF

Vulnerable; migrate to 12.3(11)T11 or later

12.3XG

Vulnerable; contact TAC

12.3XH

Vulnerable; migrate to 12.3(11)T11 or later

12.3XI

12.3(7)XI8

 

12.3XJ

Vulnerable; migrate to 12.3(14)YX2 or later

12.3XK

Vulnerable; migrate to 12.4(8) or later

12.3XQ

Vulnerable; migrate to 12.4(8) or later

12.3XR

Vulnerable; contact TAC

12.3XS

Vulnerable; migrate to 12.4(8) or later

12.3XU

Vulnerable; migrate to 12.4(2)T5 or later

12.3XW

Vulnerable; migrate to 12.3(14)YX2 or later

12.3XX

Vulnerable; migrate to 12.4(8) or later

12.3XY

Vulnerable; migrate to 12.4(8) or later

12.3YA

Vulnerable; contact TAC

12.3YD

Vulnerable; migrate to 12.4(2)T5 or later

12.3YF

Vulnerable; migrate to 12.3(14)YX2 or later

12.3YG

Vulnerable; migrate to 12.4(2)T5 or later

12.3YH

Vulnerable; migrate to 12.4(2)T5 or later

12.3YI

Vulnerable; migrate to 12.4(2)T5 or later

12.3YJ

Vulnerable; migrate to 12.3(14)YQ8 or later

12.3YK

Vulnerable; migrate to 12.4(4)T4 or later

12.3YM

12.3(14)YM8

 

12.3YQ

12.3(14)YQ8

 

12.3YS

Vulnerable; migrate to 12.4(4)T4 or later

12.3YT

Vulnerable; migrate to 12.4(4)T4 or later

12.3YU

Vulnerable; contact TAC

12.3YX

12.3(14)YX2

 

12.3YZ

12.3(11)YZ1

 

Affected 12.4-Based Release

Rebuild

Maintenance

12.4

12.4(3e)

 

12.4(7b)

12.4(8)

12.4MR

12.4(6)MR1

 

12.4SW

All 12.4SW releases are fixed

12.4T

12.4(2)T5

 

12.4(4)T4

 

12.4(6)T3

12.4(9)T

12.4XA

Vulnerable; migrate to 12.4(6)T3

12.4XB

Vulnerable; contact TAC

12.4XC

12.4(4)XC3

 

12.4XD

12.4(4)XD4

 

12.4XE

All 12.4XE releases are fixed

12.4XG

All 12.4XG releases are fixed

12.4XJ

All 12.4XJ releases are fixed

12.4XP

All 12.4XP releases are fixed

12.4XT

All 12.4XT releases are fixed

回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様の サービスプロバイダーやサポート組織にご相談ください。

ネットワーク内のシスコ機器に適用可能な他の軽減策は付属ドキュメントである シスコ Applied Intelligence にてご案内しております。

http://www.cisco.com/warp/public/707/cisco-air-20070124-crafted-tcp.shtml

注: VTY access-class フィルタを設定することは本脆弱性の影響を効果的に軽減する方法とはなりません。

Infrastructure ACLs (iACL)

ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACL は、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティーと考えることが出来ます。 以下の ACLは、infrastructure access-list の一部として設定されるべきであり、infrastructure IP アドレス・レンジに含まれるIPアドレスを持つ全ての機器を防御します。

IOS における access list の例を以下に示します。

    ! permit TCP services from trust hosts destined to infrastructure addresses
    
    access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK
    
    ! deny TCP packets from all other sources destined to infrastructure addresses
    
    access-list 150 deny   tcp any INFRASTRUCTURE_ADDRESSES MASK
    
    ! permit all other traffic to transit the device
    
    access-list 150 permit IP any any
    
    interface serial 2/0
      ip access-group 150 in
   

ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists"は、アクセスリストによって基幹機器を守るためのガイドラインと、推奨される導入方法が記載されています。
http://www.cisco.com/warp/public/707/iacl.html

Receive ACLs (rACL)

分散型のプラットフォームにおいて、Cisco12000 シリーズ(GSR) では 12.0(21)S2、Cisco7500 シリーズでは 12.0(24)S、 Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL が選択肢となります。 Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響する前に、そのトラフィックから機器を防御することができます。

Receive ACL は それが設定された機器だけを防御するためにデザインされています。
Cisco12000 シリーズでは通過トラフィックは Receive ACL による影響を受けません。 そのため、以下の ACL の例において宛先 IP アドレス "any" が用いられ、 ACL は自ルータの物理あるいは仮想 IP アドレスのみを参照します。 Cisco7500シリーズや Cisco10720シリーズにおいては、 IP オプションを含む通過トラフィックは Receive ACL に従い 許可または遮断されます。

Receive ACL は、特定の脆弱性に対する回避策であると同時に、長期に渡る最善のネットワークセキュリティーと考えることが出来ます。ホワイトペーパーの "GSR: Receive Access Control Lists" には、機器宛の正当なパケットとそれ以外の遮断されるべきパケットを判断する手法が記載されています。
http://www.cisco.com/warp/public/707/racl.html

次の receive path ACL は trusted host からのこのタイプのトラフィックを許可するように記述されています


    ! permit tcp services from trusted hosts allowed to the RP  
                                                   
    access-list 151 permit tcp TRUSTED_ADDRESSES MASK any       
   
    ! deny tcp services from all other sources to the RP        
   
    access-list 151 deny   tcp any any                          
   
    ! permit all other traffic to the RP                        
   
    access-list 151 permit ip any any                           
   
    ! apply this access list to the 'receive' path              
   
    ip receive access-list 151

Control Plane Policing (CoPP)

Control Plane Policing (CoPP) により、本脆弱性の影響を軽減することが可能です。
次の例では、信頼できるホストかの受信  IP アドレス宛の TCP トラフィック だけがルートプロセッサ(RP)に到達します。他の全ての通過 IP トラフィックには影響しません。

未知のあるいは信頼できない IP アドレスからのトラフィックをドロップすると、IP アドレスが動的にアサインされたホストが Cisco IOS 機器に接続できなくなる可能性があることに注意してください。

    access-list 152 deny   tcp TRUSTED_ADDRESSES MASK any
    access-list 152 permit tcp any any
    access-list 152 deny  ip any any
    !
    class-map match-all permit-tcp-class
     match access-group 152
    !
    !
    policy-map permit-tcp-policy
     class permit-tcp-class
      drop
    !
    control-plane
     service-policy input permit-tcp-policy


上記の CoPP の例では、 "permit" アクションの ACL エントリ に該当して本脆弱性を利用する可能性のあるパケットは policy-map の "drop" 作用により廃棄されますが、一方 "deny" アクションに該当するパケットは policy-map の "drop" 作用の影響を受けません。

    policy-map permit-tcp-policy                                  
     class class permit-tcp-class                                 
      police 32000 1500 1500 conform-action drop exceed-action drop
   

Cisco IOS の 12.2S と 12.0S において policy-map syntax が異なることに注意してください。

    policy-map permit-tcp-policy                                  
     class class permit-tcp-class                                 
      police 32000 1500 1500 conform-action drop exceed-action drop


CoPP は Cisco IOS の 12.0S, 12.2SX, 12.2S, 12.3T, 12.4 と 12.4T においてサポートされています。

CoPP の設定と使用法についての追加情報については、以下をご参照ください。
http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.shtml

Anti-spoofing

送信元アドレス詐称に起因する問題を軽減するには Unicast Reverse Path Forwarding (Unicast RPF) 機能が有効です。その機能はシスコルータおよびファイアーウォール製品で使用可能です。
詳細については以下を参照してください。

http://www.cisco.com/en/US/partner/products/ps6441/products_command_reference_chapter09186a00804ae49f.html#wp1229984

Unicast Reverse Path Forwarding (uRPF)を設定にすることにより、全ての詐称パケットが最初の機器で廃棄されます。
uRPF を設定にするためには以下コマンドを使用します。

router(config)# ip cef 
router(config)# interface interface #
router(config-if)# ip verify unicast source reachable-via rx

BGP と BTSH/GTSM

ご使用のソフトウェアリリースによっては、BGP セッション をメモリリークから防御することが可能です。もし他の方法でこの脆弱性によるメモリリークのリスクを排除できない場合、CSCee73956(登録ユーザのみ) により、BTSH (BGP TTL Security Hack) 機能が改善されており、それよりメモリリークのリスクを低減することが可能です。この機能は、RFC 3682 中の GTSM (Generalized TTL Security Mechanism) として知られています。この機能は GTSM を eBGP セッションにのみ適用しています。

CSCee73956を含んだ IOSは、この攻撃から BGP ポート (TCP port 179) のみ防御します。
他のポートについては状況に応じて他の方法で防御する必要があります。

BTSH は iBGP セッションをサポートしていません。
BTSH については、IOS 12.0(27)S, 12.3(7)T 及び 12.2(25)S で最初に実装された機能です。
ただし、CSCee73956 での改善以前の BTSH では、この脆弱性を防御することはできません。

BTSH の詳細情報につきましては、以下をご参照ください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_7/gt_btsh.htm


修正ソフトウェアの入手

シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。

ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様はhttp://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。


ご契約を有するお客様

ご契約を有するお客様は、通常の経路でそれを 入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.  

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けている お客様は、該当するサポート会社に連絡して、本脆弱性に関する適切な処置について支持と支援を受けてください。

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策 を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
     
  • +1 408 526 7209(北米以外からの有料通話)
     
  • 電子メール:tac@cisco.com
     

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。


不正利用事例と公表


現在本アドバイサリ内で記載されている脆弱性を悪用する事例や不正利用は確認されておりません。

この脆弱性はシスコ社内の試験において発見されました。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝 搬が行われる可能性があります。


情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-teams@first.org (includes CERT/CC)
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.0a 2007-Jan-26 ソフトウェアバージョンおよび修正の項を修正(日本語版のみ)
Revision 1.0 2007-Jan-24 初版


シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス コワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlにアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。