Cisco Security Advisory: Multiple Crafted IPv6 Packets Cause Reload

2009 年 5 月 17 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2005 年 1 月 26 日) | フィードバック

目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコ セキュリティ手順

要約

機器が IPv6 トラフィックを処理するように設定されている場合、Cisco Internetwork Operating System(IOS)ソフトウェアには、不正に改造された IPv6 パケットによる Denial of Service(Dos; サービス妨害)攻撃に対する脆弱性が存在します。 本脆弱性を悪用して再起動を誘発するには、不正に改造された複数のパケットを機器に送信する必要があります。

シスコでは、本脆弱性に対処するための無償のソフトウェアを提供しています。

また、本脆弱性の影響を緩和する回避策もあります。

この問題は、CERT/CC VU#472582 にて管理されています。

本アドバイザリは以下にて確認可能です。http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

該当製品

脆弱性が存在する製品

影響を受けるのは、IOS が稼動しており、かつ IPv6 用に設定されているシスコ機器のみです。 show ipv6 interface コマンドを使用すれば、ルータで IPv6 が設定されているインターフェイスがすべて表示されます。

システムで IPv6 が設定されていないかサポートされていない場合は、空の出力またはエラー メッセージが表示されます。 この場合、システムに脆弱性は存在しません

IPv6 用に設定されているシステムの show ipv6 interface コマンドの出力例を次に示します。


  Router#show ipv6 interface
  Serial1/0 is up, line protocol is up
    IPv6 is enabled, link-local address is FE80::A8BB:CCFF:FE00:D200
    Global unicast address(es):
      2001:1:33::3, subnet is 2001:1:33::/64 [TENTATIVE]
    Joined group address(es):
      FF02::1
      FF02::1:FF00:3
      FF02::1:FF00:D200
    MTU is 1500 bytes
    ICMP error messages limited to one every 100 milliseconds
    ICMP redirects are enabled
    ND DAD is enabled, number of DAD attempts: 1
    ND reachable time is 30000 milliseconds
  Router#

物理インターフェイスまたは論理インターフェイスで IPv6 が設定されているルータでは、ipv6 unicast-routing がグローバルに設定されていなくても、この問題に対する脆弱性が存在します。 show ipv6 interface コマンドを使用すれば、いずれかのインターフェイスで IPv6 が設定されているかどうかを判別できます。

脆弱性が存在しないことが確認されている製品

  • Cisco IOS が稼動していない製品は、影響を受けません。
  • いずれかのバージョンの Cisco IOS が稼動していても、IPv6 に設定されたインターフェイスがない場合には、脆弱性は存在しません。

その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。

詳細

IPv6 とは「Internet Protocol Version 6」のことで、これは、現在のインターネット プロトコルである IP Version 4(IPv4)を置き換える目的で Internet Engineering Task Force(IETF)によって設計されたプロトコルです。

IPv6 パケットの処理に、悪用されればシステムの再起動を発生させる可能性のある脆弱性が存在します。 論理インターフェイス(つまり、6to4 トンネルなどのトンネル)と物理インターフェイスのどちらで受信した不正改造パケットでも、本脆弱性が利用される可能性があります。

本脆弱性を悪用するには、不正に改造された IPv6 パケットを複数送信する必要があります。 そのような不正改造パケットは、リモートから送信可能です。

この問題は、Cisco Bug ID CSCed40933登録ユーザのみ)で文書化されています。

影響

本脆弱性が悪用された場合、機器が再起動する結果となる場合があります。 繰り返し悪用された場合、結果的に Dos 攻撃が継続することになる可能性があります。

ソフトウェア バージョンおよび修正

メジャー リリース

修正済みリリースの提供状況

影響を受ける 12.0 ベースのリリース

リビルド

暫定

メンテナンス

12.0S

12.0(23)S 以前には脆弱性は存在しません。

   

12.0(24)S6

   

12.0(25)S3

   

12.0(26)S2

   

12.0(27)S1

   
   

12.0(28)S

12.0SX

12.0(25)SX8

   

12.0SZ

12.0(27)SZ

影響を受ける 12.2 ベースのリリース

リビルド

暫定

メンテナンス

12.2B

12.2(2)B 〜 12.2(4)B7 は 12.2(13)T14 以降に移行します

12.2(4)B8 以降は 12.3(7)T 以降に移行します

12.2BC

12.3(9a)BC に移行します

12.2BX

12.3(7)XI1 に移行します

12.2BZ

12.3(7)XI1 に移行します

12.2CX

計画なし。

12.2CZ

計画なし。

12.2EW

12.2(18)EW1

12.2EWA

   

12.2(20)EWA

12.2JK

12.2(15)JK2

   

12.2MC

12.3(11)T に移行します

12.2S

12.2(14)S9

   

12.2(18)S5

   

12.2(20)S3

   

12.2(22)S1

   
   

12.2(25)S

12.2SE

12.2(25)SE

12.2SU

12.2(14)SU1

   

12.2SV

12.2(23)SV

12.2SW

12.2(23)SW

12.2SX

12.2(17d)SXB2 以降に移行します

12.2SXA

12.2(17d)SXB1 以降に移行します

12.2SXB

12.2(17d)SXB1

   

12.2SXD

   

12.2(18)SXD

12.2SY

12.2(17d)SXB2 以降に移行します

12.2SZ

12.2(20)S4 に移行します

12.2T

12.2(13)T14

           

12.2(15)T12

           

12.2YT

12.2(15)T13 以降に移行します

12.2YU

12.3(4)T6 以降に移行します

12.2YV

12.3(4)T6 以降に移行します

12.2YZ

12.2(20)S4 以降に移行します

12.2ZC

12.3T 以降に移行します

12.2ZD

12.3 以降に移行します

12.2ZE

12.3 以降に移行します

12.2ZF

12.3(4)T6 以降に移行します

12.2ZG

12.3(4)T6 以降に移行します

12.2ZH

12.3(4)T6 以降に移行します

12.2ZI

12.2(18)S 以降に移行します

12.2ZJ

12.3 以降に移行します

12.2ZL

12.3(7)T 以降に移行します

12.2ZN

12.3(2)T6 以降に移行します

12.2ZO

12.2(15)T12 以降に移行します

12.2ZP

12.3(8)XY 以降に移行します

影響を受ける 12.3 ベースのリリース

リビルド

暫定

メンテナンス

12.3

12.3(3f)

   

12.3(5c)

   

12.3(6a)

   
   

12.3(9)

12.3BC

   

12.3(9a)BC

12.3B

12.3(5a)B2

   

12.3BW

12.3(5a)B2 以降に移行します

12.3JA

   

12.3(2)JA

12.3T

12.3(2)T6

   

12.3(4)T6

   
   

12.3(7)T

12.3XA

12.3(7)T 以降に移行します

12.3XB

12.3(8)T 以降に移行します

12.3XC

12.3(2)XC3 以降に移行します

12.3XD

12.3(4)XD4

   

12.3XE

12.3(2)XE1

12.3XF

12.3(11)T 以降に移行します

12.3XG

12.3(4)XG2

   

12.3XH

12.3(11)T 以降に移行します

12.3XI

   

12.3(7)XI

12.3XJ

12.3(7)XJ

12.3XK

12.3(4)XK1

   

12.3XL

   

12.3(7)XL

12.3XM

   

12.3(7)XM

12.3XN

12.3(14)T 以降に移行します

12.3XQ

12.3(4)XQ

12.3XR

   

12.3(7)XR

12.3XS

12.3(7)XS

12.3XT

12.3(2)XT

12.3XU

12.3(8)XU

12.3XX

   

12.3(8)XX

12.3XW

   

12.3(8)XW

12.3XY

   

12.3(8)XY

12.3XZ

   

12.3(2)XZ

12.3YA

   

12.3(8)YA

12.3YD

   

12.3(8)YD

12.3YE

   

12.3(4)YE

12.3YF

   

12.3(11)YF

12.3YG

   

12.3(8)YG

12.3YH

   

12.3(8)YH

     

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/en/US/products/products_security_advisories_listing.html およびそれ以降のアドバイザリも参照して、状況と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、Cisco Technical Assistance Center(TAC)にお問い合せください。

修正ソフトウェアの入手

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート入手経路でアップグレードされたソフトウェアを入手できます。 通常は、http://www.cisco.com にあるシスコ Web サイトの Software Center からアップグレードを入手してください。

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、ソフトウェア アップグレードに関する支援を受けてください。この支援は通常無料です。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール:tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

ソフトウェアのアップグレードについては、「psirt@cisco.com」または「security-alert@cisco.com」には連絡しないでください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様は http://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。 影響製品が多種多様であるため、回避策を実際に展開する前に、対象となるネットワークで適用する回避策が最適であるか、お客様のサービス プロバイダーやサポート組織にご相談ください。

ネットワークを通過するトラフィックをブロックするのは困難な場合が多いですが、使用中のインフラストラクチャでの装置を宛先にすることを許可してはいけないトラフィックを識別して、ネットワークの境界でそのトラフィックをブロックすることは可能です。 インフラストラクチャの Access Control List(ACL; アクセス コントロール リスト)は、ネットワーク セキュリティのベスト プラクティスとみなされており、本脆弱性特有の回避策としてだけではなく、ネットワーク セキュリティを向上させるための長期的な付加手段として検討する必要があります。 http://www.cisco.com/warp/public/707/iacl.html で公開されている「コアの保護:インフラストラクチャ保護 ACL」という White Paper には、インフラストラクチャ保護 ACL のガイドラインと推奨される配置手法が説明されています。 ただし、インフラストラクチャにアクセスする正当な理由がある装置(BGP ピア、DNS サーバなど)は例外です。 その他のすべてのトラフィックは、いずれの機器上でも終端せずにネットワークを通過できる必要があります。

不正利用事例と公表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認しておりません。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また シスコシステムズは、本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落による統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリは以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

ワールドワイド のウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-teams@first.org(CERT/CC を含む)
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.netsys.com
  • comp.dcom.sys.cisco@newsgate.cisco.com
  • シスコ内部のさまざまなメーリング リスト

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記URLにて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.0

2005-January-26

初版

     

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからのセキュリティ情報を入手するための登録について詳しく知るには、シスコワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

にアクセスしてください。このページには、シスコのセキュリティ通知に関して、メディアが問い合せる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは、http://www.cisco.com/go/psirt で確認することができます。