Cisco Security Advisory: TCP Vulnerabilities in Multiple IOS-Based Cisco Products

2004 年 4 月 20 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2004 年 4 月 20 日) | フィードバック

Revision 1.0

For Public Release 2004 April 20 21:00 UTC (GMT)

目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: INTERIM
情報配信
更新履歴
シスコ セキュリティ手順

要約

Transmission Control Protocol の仕様 (RFC793) に脆弱性があることが、 外部のある研究者によって発見されました。不正利用された場合は、かつて広く認知されていたよりもはるかに短時間で任意の確立されたTCP コネクションをリセットできます。アプリケーションによっては、コネクションは自動的に再確立されます。その他の場合は、ユーザは再度操作(Telnet や SSH セッションの新規オープン)を行う必要があります。

攻撃を受けるプロトコル によっては、攻撃の成功によるコネクションの切断後の考慮が必要な派生的な 影響があります。この攻撃は装置(例、ルータ、スイッチ、コンピュータ)で 終端するセッションのみが該当し、装置を通過するトラフィック(例、ルータ によって転送されるトランジット(通過)トラフィック)は影響を受けません。 さらに、これによって直接的にデータの完全性や機密性が損なわれることは ありません。

TCP プロトコルスタックを有する全てのシスコ製品は本脆弱性の影響を受けます。

本アドバイザリは Cisco IOS ソフトウェアが稼動するシスコ製品の脆弱性 について記述したもので、以下にて確認可能です。

http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml

対となるアドバイザリは Cisco IOS ソフトウェアが稼動する以外の製品の 脆弱性についた記述したもので、以下にて確認可能です。

http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-nonios.shtml

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との 間で内容の齟齬がある場合には、英語原文が優先いたします。

該当製品

TCP プロトコルスタックを有する全てのシスコ製品は本脆弱性の影響を受け ます。全てのシスコ製品、モデルが影響を受けます。起こりうる障害の深刻 度は、TCP を使用する(上位)プロトコルやアプリケーションに依存します。

この攻撃は装置(例、ルータ、スイッチ、コンピュータ)で終端するセッショ ンのみが該当し、装置を通過するトラフィック(例、ルータによって転送さ れるトランジット(通過)トラフィック)は影響を受けません。

詳細

TCP はトランスポート層のプロトコルで、コネクション型で信頼性のある Internet Protocol (IP) パケットの配送を提供するように設計されています。 この実現のために、TCP は状態 (state) とパケットの再構築 (reassemble) するための順序を特定する順序番号 (sequence number) の混在するフラグを 使用します。

また、TCP は応答番号 (acknowledgement number) と呼ばれる 期待する次のパケットの順序番号 (sequence number) を提供します。 パケットは"window" と呼ばれる、ある範囲の応答番号 (acknowledgement number) に順序番号 (sequence number) が入る場合にのみ、受信側の TCP スタック によって再構築されます。リセット (RST) フラグが設定される際は、戻り のパケットはないため、応答番号 (acknowledgement number) は使用されま せん。TCP の完全な仕様は以下より入手可能です。

http://www.ietf.org/rfc/rfc0793.txt

RFC793 の仕様によると、確立された TCP コネクションは、reset (RST) もしくは synchronize (SYN) フラグをセットしたパケットを送信すること によってリセットすることが可能です。これを実行するには 4-tuple(送信元、 宛先のIP と ポート)とともに順序番号 (sequence number) が既知あるいは 推測できることが前提となります。しかし、順序番号 (sequence number) は完全に一致する必要がなく、広告された window に収まっていれば十分で す。このことにより、敵対者が必要な労力は低減することとなります。 window が大きいほど、コネクションのリセットが容易となります。

送信元、 宛先 IP アドレスが比較的容易に特定できるのに対して、送信元 TCP ポー トは推測しなくてはなりません。宛先 TCP ポートは通常、標準的なサービ ス(例、Telnet の 23、HTTP の 80)に関しては既知です。Cisco IOS は予 測可能な一時的なポート(番号)を予想可能な増分(後続のコネクションに は次のポート(番号)が使用されます)で既知のサービスに使用します。こ れらの値は特定の IOS バージョンやプロトコルでは一定であってもリリースによって異なります。


  以下は通常の TCP セッションの終了の例です:

     

                      Host(1)                       Host(2)

                        |                             |

                        |                             |

                        |  ACK ack=1001, window=5000  |

                        |<----------------------------|

                        |                             |

      

                    Host(1) がセッションを終了

      

                        |        RST seq=1001         |

                        |---------------------------->|

                        |                             |

      

                                                  Host(2) がセッションを終了

  

  

  さらに、以下のシナリオもありあえます:

     

                      Host(1)                       Host(2)

                        |                             |

                        |                             |

                        |  ACK ack=1001, window=5000  |

                        |<----------------------------|

                        |                             |

      

                    Host(1) がセッションを終了

      

                        |        RST seq=4321         |

                        |---------------------------->|

                        |                             |

      

                                                  Host(2) がセッションを終了

  

  


2つめの例で、順序番号 (sequence number) が次の期待するもの(すなわち 1001) でないにもかかわらず、どのように RST パケットがセッションを終了できたか 注目してください。広告された範囲の window に順序番号 (sequence number) が収まっていれば十分なのです。この例では、Host(2) が順序番号 (sequence number) 1001 から 6001 を受信対象としています。そして4321 はその範囲内にあります。

一般的には、TCP コネクションが1分以上確立されたままのプロトコルは影響が あると考えるべきです。セッションは再確立されるため、不正利用は多くの場合、 単に迷惑な行為にすぎません。


* Cisco IOS

Cisco IOS が稼動するすべての装置に脆弱性があります。 セッションのエンド・ポイントのみがこの脆弱性によって影響を受けるため、 装置そのもので終端するTCP セッションのみが影響を受けます。 装置を通過するセッションは、起点または終点の装置に脆弱性がある場合のみ 影響を受けますが、通過するルータそのものの上では攻撃不可能です。 本脆弱性によって、データの完全性や機密性は影響を受けません。影響を受ける のは可用性のみです。

本脆弱性は Cisco Bug Toolkit(登録のあるお客様のみ)で BugID CSCed27965CSCed38527 でドキュメントとして提供しております。

* Cisco IOS FireWall (IOS FW)

IOS FW はルータを通過するパケットを監視し、セッションの状態を内部的に 保持します。したがって、必要なポートを open し、トラフィックを通過させ セッション終了後にそれらを close することが可能です。IOS FW は 装置を通過するパケットすべてを傍受 (intercept) し調べるため、IOS FW を通過する TCP セッションはすべて攻撃の影響を受けることになります。 起点もしくは終点の装置に脆弱性がなくともこの事実はあてはまります。

本脆弱性は Cisco Bug Toolkit(登録のあるお客様のみ)で BugID CSCed93836 でドキュメントとして提供しております。

* Network Address Translation (NAT)

本脆弱性は NAT に関して一切影響はありません。NAT 機能は単純に ポート (番号)や IP アドレスを書き換えます。この機能は TCP フラグの解釈は 行わず、したがってこの攻撃に対して脆弱性はありません。しかし、攻撃 パケットはルータを通過し、受信する装置は影響されることがあります。

影響

影響は個別のプロトコルごとに異なります。ほとんどの場合において TCP コネクション は自動的に再確立される一方で、いくつかの特定のプロトコルではコネクション の切断による派生的な影響のほうがより大きい場合があります。

Border Gateway Protocol (BGP)


Cisco PSIRT では、BGP への影響が潜在的に最も影響が大きいとみています。 External (eBGP)、Internal (iBGP) セッションのいずれも同等に影響を受けます。 もし敵対者が2つのルータ間の BGP セッションを切断した場合、2つのルータ間で 互いに広告 (advertise) されたすべての経路は消去 (withdraw) されます。この 動作は、ルータが攻撃され、次のアップデート (update) もしくは キープアライブ (keepalive) パケットが対向のルータ送信された直後に発生します。 BGP ピアリングセッションそのものは1分以内に再確立されます。ルーティングの 設定によって、経路の消去 (withdraw) によって以下のような派生的影響がありえ ます。

* 影響を受けるセッションの両側で適切なスタティック・ルートが設定されている 場合は悪影響はありません。

* トラフィックは他の経路に迂回します。これによりいくつかの経路が輻輳します。

* ネットワークの一部分が完全に分断され、到達不可能になります。

BGP ピアリングセッションが短時間に数回切断された場合、BGP 経路の抑制 (route dampening) が引き起こされることがあります。抑制 (dampening) とは影響を受けた経路が ルーティングテーブルから一定時間消去されることを意味します。その時間はデフォルト で 45 分です。その間、攻撃を受けた BGP セッション上で広告 (advertise) された 経路のすべてのトラフィックは、迂回するか、その部分のネットワークが到達不能に なります。経路の抑制 (route dampening) はデフォルトの設定では有効になって いません。

IOS FireWall Feature Set

TCP エンドポイントに脆弱性がない場合でも、TCP ベースのコネクションを 攻撃で終了させることが可能です。

ソフトウェアバージョンおよび修正

下記の表中の各列は、対象となるリリーストレインとプラットフォーム、あるいは製品を 表しています。もし、あるリリーストレインが脆弱である場合、最も早く利用可能な修正 済みリリースと利用可能予定日付が、それぞれ "Rebuild", "Interim", "Maintenance" 欄 に記載されています。それぞれのトレインにおいて、特定の欄のリリースよりも以前の リリース(最も早い修正リリースよりも前)を使用している装置は、脆弱であると みなすことができます。その場合は表示されているリリースか、それ以降のバージョン (最も早い修正リリースか後)へのアップグレードが必要です。

リリースを選択する際には、次の IOS リリース定義にご留意ください。

* Maintenance

もっとも厳密に試験されており、下記表の列のいずれのラベルのリリースにおいて高 く推奨されます。

* Rebuild

同じトレイン内で、一つ前の Maintenance またはメジャーリリースから構築された もので、ある特定の問題の修正を含むものです。試験項目は少なくなっていますが、 修正に必要なごく少ない変更のみを含んだものです。

* Interim

Maintenance リリース間に定期的に構築され、試験項目は少なくなっています。 Interim は脆弱性に対処した適切なリリースが存在しない場合に選択されるべきで、 Interim イメージを使用した場合には、次の Maintenance リリース後に迅速にアッ プグレードされなければなりません。Interim リリースは通常経路からの入手は不可 能で、事前に Cisco Technical Assistance Center (TAC) に手配を行わない限り、 お客様が CCO からダウンロードすることはできません。



IOS FireWall の修正 IOS イメージ

Major Release

Availability of Repaired Releases*

Affected 12.1-Based Release

Rebuild

Interim**

Maintenance

12.1

12.1(22c)

  

12.1E

12.1(19)E7

  
   

Affected 12.2-Based Release

Rebuild

Interim**

Maintenance

12.2

12.2(21b)

  

12.2(23a)

  

12.2T

12.2(11)T11

  

12.2(13)T12

  

12.2(15)T12

  

Affected 12.3-Based Release

Rebuild

Interim**

Maintenance

12.3

12.3(5c)

  

12.3(6a)

  

12.3T

12.3(4)T4

  

  修正 IOS イメージと移行パス

  

Major Release

Availability of Repaired Releases*

Affected 11.1 -Based Release

Rebuild

Interim**

Maintenance

11.1

11.1 Vulnerable. Migrate to 11.2

11.1AA

11.1AA Vulnerable. Migrate to 11.2P

11.1CC

11.1CC Vulnerable. Migrate to 12.0

Affected 11.2 -Based Release

Rebuild

Interim**

Maintenance

11.2

11.2(26f) Available on 2004-Apr-21

   

11.2P

11.2(26)P6 Available on 2004-Apr-21

   

11.2SA

11.2(8)SA6 Vulnerable. Migrate to 12.0

Affected 11.3 -Based Release

Rebuild

Interim**

Maintenance

11.3

11.3 Vulnerable. Migrate to 12.0

11.3(11b)T4 Available on 2004-Apr-21

   

11.3(11e) Available on 2004-Apr-21

   

Affected 12.0 -Based Release

Rebuild

Interim**

Maintenance

12.0

12.0(28)

   

12.0DA

12.0DA Vulnerable. Migrate to 12.2DA

12.0DB

12.0DB Vulnerable. Migrate to 12.1DB

12.0DC

12.0DC Vulnerable. Migrate to 12.1DC

12.0S

12.0(27)S

   

12.0(26)S2

   

12.0(16)S11

   

12.0(24)S5

   

12.0(25)S3

   

12.0(23)S6

   

12.0SL

12.0SL Vulnerable. Migrate to 12.0(23)S3

12.0ST

12.0ST Vulnerable. Migrate to 12.0(26)S2

12.0SX

12.0(25)SX4 Not built - contact TAC

12.0SZ

12.0SZ Vulnerable. Migrate to 12.0(26)S2

12.0T

12.0T Vulnerable. Migrate to 12.1

12.0W5

12.0(28)W5(30)

   

12.0WC

12.0(5)WC9a Available on 2004-Apr-21

   

12.0WT

12.0(13)WT Vulnerable. End of Engineering

12.0WX

12.0(4)WX Vulnerable. Migrate to 12.0W5

12.0XA

12.0(1)XA Vulnerable. Migrate to 12.1 Latest

12.0XB

12.0(1)XB Vulnerable. Migrate to 12.2(15)T12

12.0XC

12.0(2)XC Vulnerable. Migrate to 12.1 Latest

12.0XD

12.0(2)XD Vulnerable. Migrate to 12.1 Latest

12.0XE

12.0(7)XE Vulnerable. Migrate to 12.1E Latest

12.0XG

12.0(3)XG Vulnerable. Migrate to 12.1 Latest

12.0XH

12.0(4)XH Vulnerable. Migrate to 12.1

12.0XI

12.0(4)XI Vulnerable. Migrate to 12.1

12.0XJ

12.0(4)XJ Vulnerable. Migrate to 12.1 Latest

12.0XK

12.0(7)XK Vulnerable. Migrate to 12.1T Latest

12.0XL

12.0(4)XL Vulnerable. Migrate to 12.2 Latest

12.0XM

12.0(4)XM Vulnerable. Migrate to 12.2(15)T12

12.0XN

12.0(5)XN Vulnerable. Migrate to 12.1 Latest

12.0XP

12.0(5.1)XP Vulnerable. Migrate to 12.1 Latest

12.0XQ

12.0(5)XQ Vulnerable. Migrate to 12.1 Latest

12.0XR

12.0(7)XR Vulnerable. Migrate to 12.2 Latest

12.0XS

12.0(5)XS Vulnerable. Migrate to 12.1E Latest

12.0XU

12.0(5)XU Vulnerable. Migrate to 12.0(5)WC

12.0XV

12.0(7)XV Vulnerable. Migrate to 12.2(15)T12

Affected 12.1 -Based Release

Rebuild

Interim**

Maintenance

12.1

12.1(20a)

   

12.1(4c)

   

12.1(22a)

   

12.1AA

12.1(10)AA Vulnerable. Migrate to 12.2 Latest

12.1AX

12.1(14)AX

   

12.1AY

12.1(13)AY Vulnerable. Migrate to 12.1(14)EA1

12.1DA

12.2DA Vulnerable. Migrate to 12.2DA

12.1DB

12.1(5)DB Vulnerable. Migrate to 12.2B

12.1E

12.1(19)E7

   

12.1(22)E1

   

12.1(11b)E14

   

12.1(20)E2 Not built - contact TAC

12.1(19)E6

   

12.1(13)E13

   

12.1(8b)E18

   

12.1(14)E10

   

12.1(13)E14

   

12.1EA

12.1(20)EA1

   

12.1EB

12.1(20)EB

   

12.1EC

12.1(20)EC

   

12.1EO

12.1(20)EO

   

12.1(19)EO2 Available on 2004-Apr-25

   

12.1EU

12.1(20)EU

   

12.1EV

12.1(12c)EV Vulnerable. Migrate to 12.2(RLS4)S

12.1EW

12.1(20)EW2 Available on 2004-Apr-21

   

12.1EX

12.1EX Vulnerable. Migrate to 12.1(14)E

12.1EY

12.1(10)EY Vulnerable. Migrate to 12.1(14)E

12.1T

12.1(5)T17

   

12.1XA

12.1(1)XA Vulnerable. Migrate to 12.1(5)T18

12.1XB

12.1(1)XB Vulnerable. Migrate to 12.2(15)T12

12.1XC

12.1(1)XC Vulnerable. Migrate to 12.2

12.1XD

12.1(1)XD Vulnerable. Migrate to 12.2

12.1XE

12.1(1)XE Vulnerable. Migrate to 12.1E Latest

12.1XF

12.1(2)XF Vulnerable. Migrate to 12.2(15)T12

12.1XG

12.1(3)XG Vulnerable. Migrate to 12.2(15)T12

12.1XH

12.1(2a)XH Vulnerable. Migrate to 12.2

12.1XI

12.1(3a)XI Vulnerable. Migrate to 12.2 Latest

12.1XJ

12.1(3)XJ Vulnerable. Migrate to 12.2(15)T12

12.1XL

12.1(3)XL Vulnerable. Migrate to 12.2T Latest

12.1XM

12.1(5)XM Vulnerable. Migrate to 12.2T Latest

12.1XP

12.1(3)XP Vulnerable. Migrate to 12.2(15)T12

12.1XQ

12.1(3)XQ Vulnerable. Migrate to 12.2T Latest

12.1XR

12.1(5)XR Vulnerable. Migrate to 12.2T Latest

12.1XT

12.1(3)XT Vulnerable. Migrate to 12.2(15)T12

12.1XU

12.1(5)XU Vulnerable. Migrate to 12.2T Latest

12.1XV

12.1(5)XV Vulnerable. Migrate to 12.2XB

12.1YA

12.1(5)YA Vulnerable. Migrate to 12.2(8)T

12.1YB

12.1(5)YB Vulnerable. Migrate to 12.2(15)T12

12.1YC

12.1(5)YC Vulnerable. Migrate to 12.2(15)T12

12.1YD

12.1(5)YD Vulnerable. Migrate to 12.2(8)T

12.1YE

12.1(5)YE5 Vulnerable. Migrate to 12.2(2)YC

12.1YF

12.1(5)YF2 Vulnerable. Migrate to 12.2(2)YC

12.1YH

12.1(5)YH2 Vulnerable. Migrate to 12.2(13)T

12.1YI

12.1(5)YI2 Vulnerable. Migrate to 12.2(2)YC

12.1YJ

12.1(11)YJ Vulnerable. Migrate to 12.1EA Latest

Affected 12.2 -Based Release

Rebuild

Interim**

Maintenance

12.2

12.2(19b)

   

12.2(16f)

   

12.2(21a)

   

12.2(23)

   

12.2(12i)

   

12.2(10g)

   

12.2(13e)

   

12.2(17d)

   

12.2(21b)

   

12.2(23a)

   

12.2B

12.2(2)B - 12.2(4)B7 Vulnerable. Migrate to 12.2(13)T12

12.2(4)B8 AND FWD Vulnerable. Migrate to 12.3(5a)B1

12.2BC

12.2(15)BC1C

   

12.2BW

12.2(4)BW Vulnerable. Migrate to 12.2(15)T12

12.2BX

12.2(16)BX2

   

12.2BY

12.2(4)BY Vulnerable. Migrate to 12.2(15)B

12.2(8)BY Vulnerable. Migrate to 12.2(8)ZB

12.2(2)BY Vulnerable. Migrate to 12.2(8)BZ

12.2BZ

12.2(15)BZ Vulnerable. Migrate to 12.2(16)BX

12.2CX

12.2(11)CX Vulnerable. Migrate to 12.2(15)BC

12.2CY

12.2(11)CY Vulnerable. Migrate to 12.2(13)BC1C

12.2DD

12.2DD Vulnerable. Migrate to 12.2(4)B1

12.2DX

12.2(1)DX Vulnerable. Migrate to 12.2DD

12.2(2)DX Vulnerable. Migrate to 12.2B Latest

12.2EW

12.2(18)EW

   

12.2JA

12.2(13)JA4

   

12.2(13)JA2

   

12.2(11)JA3

   

12.2MC

12.2(15)MC1B

   

12.2S

12.2(22)S

   

12.2(14)S7

   

12.2(20)S1

   

12.2(20)S3 Available on 2004-Apr-21

   

12.2(18)S3

   

12.2SE

12.2(18)SE

   

12.2SW

12.2(21)SW

   

12.2SX

12.2(17a)SX2

   

12.2SXA

12.2(17b)SXA1

   

12.2SXB

12.2(17d)SXB1 Not built - contact TAC

12.2SY

12.2(14)SY3

   

12.2SZ

12.2(14)SZ6

   

12.2T

12.2(15)T11

   

12.2(13)T12

   

12.2(11)T11 Not built - contact TAC

12.2(13)T11

   

12.2XA

12.2(2)XA Vulnerable. Migrate to 12.2(11)T

12.2XB

12.2(2)XB Vulnerable. Migrate to 12.2(15)T

12.2XC

12.2(2)XC Vulnerable. Migrate to 12.2(8)ZB

12.2XD

12.2(1)XD Vulnerable. Migrate to 12.2(15)T12

12.2XE

12.2(1)XE Vulnerable. Migrate to 12.2(15)T12

12.2XF

12.2(1)XF1 Vulnerable. Migrate to 12.2(4)BC1C

12.2XG

12.2(2)XG Vulnerable. Migrate to 12.2(8)T

12.2XH

12.2(2)XH Vulnerable. Migrate to 12.2(15)T12

12.2XI

12.2(2)XI2 Vulnerable. Migrate to 12.2(15)T12

12.2XJ

12.2(2)XJ Vulnerable. Migrate to 12.2(15)T12

12.2XK

12.2(2)XK Vulnerable. Migrate to 12.2(15)T12

12.2XL

12.2(4)XL Vulnerable. Migrate to 12.2(15)T12

12.2XM

12.2(4)XM Vulnerable. Migrate to 12.2(15)T12

12.2XN

12.2(2)XN Vulnerable. Migrate to 12.2(11)T

12.2XQ

12.2(2)XQ Vulnerable. Migrate to 12.2(15)T12

12.2XS

12.2(1)XS Vulnerable. Migrate to 12.2(11)T

12.2XT

12.2(2)XT Vulnerable. Migrate to 12.2(11)T

12.2XU

12.2(2)XU Vulnerable. Migrate to 12.2(15)T12

12.2XW

12.2(4)XW Vulnerable. Migrate to 12.2(13)T12

12.2YA

12.2(4)YA Vulnerable. Migrate to 12.2(15)T12

12.2YB

12.2(4)YB Vulnerable. Migrate to 12.2(15)T12

12.2YC

12.2(2)YC Vulnerable. Migrate to 12.2(11)T11

12.2YD

12.2(8)YD Vulnerable. Migrate to 12.2(8)YY

12.2YE

12.2(9)YE Vulnerable. Migrate to 12.2S

12.2YF

12.2(4)YF Vulnerable. Migrate to 12.2(15)T12

12.2YG

12.2(4)YG Vulnerable. Migrate to 12.2(13)T12

12.2YH

12.2(4)YH Vulnerable. Migrate to 12.2(15)T12

12.2YJ

12.2(8)YJ Vulnerable. Migrate to 12.2(15)T12

12.2YK

12.2(2)YK Vulnerable. Migrate to 12.2(13)ZC

12.2YL

12.2(8)YL Vulnerable. Migrate to 12.3(2)T

12.2YM

12.2(8)YM Vulnerable. Migrate to 12.3(2)T

12.2YN

12.2(8)YN Vulnerable. Migrate to 12.3(2)T

12.2YO

12.2(9)YO Vulnerable. Migrate to 12.2(14)SY

12.2YP

12.2(11)YP Vulnerable. Migrate to 12.2T Latest

12.2YQ

12.2(11)YQ Vulnerable. Migrate to 12.3(2)T

12.2YR

12.2(11)YR Vulnerable. Migrate to 12.3(2)T

12.2YS

12.2(11)YS Vulnerable. Migrate to 12.3T

12.2YT

12.2(11)YT Vulnerable. Migrate to 12.2(15)T

12.2YU

12.2(11)YU Vulnerable. Migrate to 12.3(2)T

12.2YV

12.2(11)YV Vulnerable. Migrate to 12.3(4)T

12.2YW

12.2(8)YW Vulnerable. Migrate to 12.3(2)T

12.2YX

12.2(11)YX Vulnerable. Migrate to 12.2(RLS3)S

12.2YY

12.2(8)YY Vulnerable. Migrate to 12.3(1)T

12.2YZ

12.2(11)YZ Vulnerable. Migrate to 12.2(14)SZ

12.2ZA

12.2(14)ZA6

   

12.2ZB

12.2(8)ZB Vulnerable. Migrate to 12.3T

12.2ZC

12.2(13)ZC Vulnerable. Migrate to 12.3T

12.2ZD

12.2(13)ZD1

   

12.2ZE

12.2(13)ZE Vulnerable. Migrate to 12.3

12.2ZF

12.2(13)ZF Vulnerable. Migrate to 12.3(4)T

12.2ZG

12.2(13)ZG Vulnerable. Migrate to 12.3(4)T

12.2ZH

12.2(13)ZH Vulnerable. Migrate to 12.3(4)T

12.2ZI

12.2(11)ZI Vulnerable. Migrate to 12.2(18)S

12.2ZJ

12.2(15)ZJ5

   

12.2(15)ZJ4

   

12.2ZK

12.2(15)ZK Vulnerable. Migrate to 12.3T

12.2ZL

12.2(15)ZL Vulnerable. Migrate to 12.3(7)T

12.2ZN

12.2(15)ZN Vulnerable. Migrate to 12.3(2)T

12.2ZP

12.2(13)ZP3

   

Affected 12.3 -Based Release

Rebuild

Interim**

Maintenance

12.3

12.3(3e)

   

12.3(6)

   

12.3(5b)

   

12.3B

12.3(5a)B

   

12.3(3)B1

   

12.3BW

12.3(1a)BW Vulnerable. Migrate to 12.3B

12.3T

12.3(2)T4

   

12.3(7)T1 Not built - contact TAC

12.3(4)T3

   

12.3XA

12.3(2)XA Vulnerable. Contact TAC.

12.3XB

12.3(2)XB2

   

12.3XC

12.3(2)XC2

   

12.3XD

12.3(4)XD1

   

12.3XE

12.3(2)XE Vulnerable. Migrate to 12.3T

12.3XF

12.3(2)XF Vulnerable. Contact TAC if needed.

12.3XG

12.3(4)XG

   

12.3XH

12.3(4)XH

   

12.3XI

12.3(7)XI Vulnerable. Migrate to 12.3T

12.3XJ

12.3(7)XJ Vulnerable. Contact TAC if needed

12.3XK

12.3(4)XK

   

12.3XL

12.3(7)XL Vulnerable. Contact Tac if needed

12.3XM

12.3(9)XM Vulnerable. Contact TAC if needed.

12.3XN

12.3(4)XN Vulnerable. Contact TAC if needed.

12.3XQ

12.3(4)XQ Vulnerable. Contact TAC if needed.

* * 日付は予定であり、変更される可能性があります。

** Interim リリースは Maintenance リリースほど厳格なテストを行っておらず、深刻な不具合 がある場合があります。

修正ソフトウェアの入手

契約を有するお客様

通常の経路でアップグレードのためのソフトウェアを入手してください。ほとんどの お客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手 することができます。

http://www.cisco.com/tacpage/sw-center/

サードパーティによるサポートを受けているお客様

シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ製品を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソフトウェアアップグレードを入手してください。

シスコサービス契約を結んでいないお客様

シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサード パーティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入手できな いお客様は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に 連絡し、修正済ソフトウェアを入手して下さい。TAC への連絡先は以下の通りです。



+1 800 553 2447 (北米内からフリーダイヤル)

+1 408 526 7209 (北米以外からの有料通話)

e-mail: tac@cisco.com



様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスな ど、その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。

http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html

無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を提示してください。契約がないお客様の無償アップグレードは TAC を通して要求し てください。

ソフトウェアのアップグレードに関し、 "psirt@cisco.com" もしくは "security- alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

回避策

RST フラグ(リセットパケット)を利用した本脆弱性の不正利用は、OSVDB.org の Paul (Tony) Watson によって発見されました。それを SYN フラグの利用に拡張 した攻撃方法については、解決に協力するベンダーによって発見されました。 回避策の効果は、お客様の状況、使用製品、 ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が 多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用 する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談 ください。

IOS FireWall では影響を緩和する利用可能な回避策はありません。

BGP に関しましては回避策と、数種類の緩和策を提供いたします。 BGP セキュリティ・リスクアセスメント、緩和策、展開のベスト・プラクティスに 関しますさらなる情報は以下より入手可能です。

ftp://ftp-eng.cisco.com/cons/isp/security/BGP-Risk-Assesment-v.pdf

* BGP MD5 secret、BGP に対する回避策はセッションごとにピア間に MD5 secret を 設定することになります。設定例としましては以下のようになります。

router(config)#router bgp <AS-_number>
router(config-router)#neighbor <IP_address> password <enter_your_secret_here>

両方のピアで同時に同一の MD5 secret 設定する必要があります。さもなくば 確立されている BGP セッションが切断され、両方の装置で同一の secret が 設定されるまで、新しい BGP セッションが確立されません。BGP の設定方法に 関する詳細な議論は、以下のドキュメントをご参照ください。

http://cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a00800ca571.html

一旦 secret が設定された後は、定期的に変更するのが無難といえます。変更 間隔はセキュリティーポリシーに依存しますが、2〜3ヶ月以内であるべきと いえます。secret を変更する場合には、やはり両側の装置で同時に実行する必要 があります。例外は使用する IOS リリースに CSCdx23494 が組み込まれている場合 になります。この修正によって、片方のみで MD5 secret が変更されても、BGP セッションは切断されません。しかし、その場合でも BGP update は、両側の装置で 同一の secret が設定されるか、secret が両側の装置から削除されるまで、処理 されません。

以下の攻撃を成功させるために必要なスプーフィング(捏造)の可能性を 低める対策の1つないし複数を適用することにより、この脆弱性による BGP への 影響を緩和することが可能です。

* 基幹設備へのアクセスの遮断 通過するトラフィックを遮断するのはしばしば困難ですが、基幹設備宛ての 許可されていないトラフィックを特定し、そのトラフィックをネットワークの 境界で遮断することは可能です。Infrastructure ACLs (iACL) はネットワーク セキュリティのベスト・プラクティスと考えられ、本脆弱性の回避策としてのみ ならず、ネットワークセキュリティ向上に長期的にも貢献すると考えるべきです。

"Protecting Your Core: Infrastructure Protection Access Control Lists"

のホワイトペーパーにはアクセスリストによって基幹装置を守るためのガイドラインと、 推奨される実施方法が記載されています。

http://www.cisco.com/warp/customer/707/iacl.html

例外は基幹設備にアクセスする正当な理由がある装置(例 BGP ピア、NTP ソース、 DNS サーバー など)です。



* スプーフィング対策のネットワーク境界への設定 敵対者が本アドバイザリに記述されている攻撃を実行するためには、BGP ピア のうちのいずれかと同一の送信元 IP アドレスでパケットを送らなくてはなり ません。スプーフ(捏造)パケットは Unicast Reverse Path Forwarding (uRPF) 機能か Access Control Lists (ACL) を用いて阻止することができます。uRPF を 有効にすれば、すべてのスプーフ(捏造)パケットは、機能が有効になっている 最初の装置で破棄されます。uRPF を有効にするには以下のコマンドを使用します。

router(config)#ip cef
router(config)#ip verify unicast reverse-path


uRPF がどのように動作し、様々な状況に応じてどのように設定するかにつきま しては、以下をご参照ください。

http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7d4.html

ftp://ftp-eng.cisco.com/cons/isp/security/URPF-ISP.pdf

これは、特に非対称ルーティング (asymetric routing) を使用している場合は 特に重要です。

ACL は境界のなるべく近くで設定されるべきです。uRPF と異なり許可する IP の 明確な範囲を指定する必要があります。遮断されるべき IP アドレスを特定する のは、維持するのが困難になりがちで最適な解決策ではありません。

注意:スプーフィング対策が効果があるようにするには、保護する装置の最低 1ホップ先の装置に設定される必要があります。理想的にはネットワーク境界 において設定します。

* パケットレート制限 IOS はデフォルトで RST パケットレートを制限しています。この機能は IOS リリース 10.2 で導入されました。RST パケットのストーム(氾濫)の際にも実際には 毎秒 1 パケットに制限されます。攻撃者が成功するには、最初の数パケットで コネクションを切断しなくてはなりません。さもなくば、攻撃は現実的でない ほどの時間を要することになります。他方、SYN パケットにはレート制限があり ません。レート制限は CAR (Committed Access Rate) もしくは CPP (Control Plane Policing) によって実現できます。CPP が推奨対策になりますが、12.2(18)S もしくは 12.3(4)T 以降からのみ利用可能になっています。また、現在のところ 1751、2600/2600-XM、3700、7200 そして 7500 の各シリーズでのみ利用可能です。 CAR は以下のように設定できます。

router(config)#access-list 103 deny tcp any host 10.1.1.1 established
router(config)#access-list 103 permit tcp any host 10.0.0.1
router(config)interface <interface><interface #>
router(config)rate-limit input access-group 103 8000 8000 8000
conform-action transmit exceed-action drop

CPP の設定の詳細につきましては、以下のドキュメントをご参考にしてください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_white_paper09186a0080211f39.shtml

不正利用事例と公表

Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認 していません。

RST フラグ(リセットパケット)を利用した本脆弱性の不正利用は、OSVDB.org の Paul (Tony) Watson によって発見されました。それを SYN フラグの利用に拡張 した攻撃方法については、解決に協力するベンダーによって発見されました。

この通知のステータス: INTERIM

この内容は INTERIM 通知です。シスコ PSIRT では本通知の内容すべてに関して完全性を 保証いたしかねますが、すべて公表事実は最善を尽くして確認されているものになります 。シスコ PSIRTでは通知における事実に変更がない限り新たなバージョンをリリースする 予定はなく、重要な変更がある場合にのみ本通知を更新します。

後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者 向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿 されています。

* cust-security-announce@cisco.com
* first-teams@first.org (includes CERT/CC)
* bugtraq@securityfocus.com
* vulnwatch@wulnwatch.org
* cisco@spot.colorado.edu
* cisco-nsp@puck.nether.net
* full-disclosure@lists.netsys.com
* comp.dcom.sys.cisco@newsgate.cisco.com


この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲 載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.0 2004-Apr-20 初版

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およ びシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス コワールドワイドウェブサイトの http://www.cisco.com/warp/public/707/sec_incident_response.shtml にアクセスしてく ださい。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の 指示が掲載されています。全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。