Multiple Vulnerabilities in Cisco IOS XE Software for 1000 Series Aggregation Services Routers

2013 年 4 月 16 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 4 月 15 日) | フィードバック

Advisory ID: cisco-sa-20130410-asr1000

http://www.cisco.com/cisco/web/support/JP/111/1117/1117745_cisco-sa-20130410-asr1000-j.html/

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.2

Last Updated 2013 April 15 19:07 UTC (GMT)

For Public Release 2013 April 10 16:00 UTC (GMT)


要約

1000 シリーズ アグリゲーション サービス ルータ(ASR)用 Cisco IOS XE ソフトウェアには、次に示すサービス拒否(DoS)の脆弱性が存在します。

  • Cisco IOS XE ソフトウェアの IPv6 マルチキャスト トラフィックにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアの MVPNv6 トラフィックにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアの L2TP トラフィックにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアの SIP トラフィックにおける DoS 脆弱性

これらの脆弱性はそれぞれ独立しています。1 つの脆弱性に影響を受けるリリースが、その他の脆弱性からも影響を受けるとは限りません。

これらの脆弱性のいずれかが不正利用されると、認証されていないリモートの攻撃者が Embedded Services Processor(ESP)カードまたは Route Processor(RP)カードのリロードを引き起こし、サービスの中断を発生する可能性があります。
この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。

注: Cisco IOS ソフトウェアおよび Cisco IOS-XR ソフトウェアは、これらの脆弱性の影響を受けません。

シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/111/1117/1117745_cisco-sa-20130410-asr1000-j.html/

該当製品

1000 シリーズ ASR 用 Cisco IOS XE ソフトウェアには複数の DoS 脆弱性が存在します。1000 シリーズ ASR 用 Cisco IOS XE ソフトウェアの影響を受けるバージョンは、各脆弱性によって異なります。影響を受けるバージョンの詳細については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。


脆弱性が認められる製品

該当する具体的なバージョンについては、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。


Cisco IOS XE ソフトウェアの IPv6 マルチキャスト トラフィックにおける DoS 脆弱性 および Cisco IOS XE ソフトウェアの MVPNv6 トラフィックにおける DoS 脆弱性

該当する Cisco ASR デバイスが、断片化されたマルチキャスト IP バージョン 6(IPv6)または断片化された IPv6 マルチキャスト VPN(MVPNv6)パケットを受信すると、これらの脆弱性の影響を受けます。断片化されたマルチキャスト パケットが Cisco Multicast Leaf Recycle Elimination(MLRE)によって処理されると、Cisco ASR デバイス上の Cisco ESP カードがリロードされる可能性があります。
Cisco ASR 1000 に設定された複数の機能がこの種の処理を行い、クラッシュが発生する可能性があります。

Cisco IOS XE ソフトウェアは、トラフィックを処理するインターフェイス上で IPv6 が有効になっており、かつ該当するデバイス上で MLRE が有効になっている場合に影響を受ける可能性があります。

インターフェイスで IPv6 が有効になっているかを確認するには、show run | include ipv6.(enable|address)
特権 EXEC コマンドを使用します。show run | include ipv6.(enable|address) の出力に ipv6 enable および ipv6 address が存在する場合、IPv6 が有効になっています。

デバイスに IPv6 が設定されていることを示す Cisco IOS XE ソフトウェアの show run | include ipv6.(enable|address) コマンドの出力を次に示します。
asr1004# show run | include ipv6.(enable|address)
ipv6 enable ipv6 address dhcp rapid-commit
ipv6 address autoconfig ipv6 address MANAGEMENT ::1FFF:0:0:0:3560/128
ipv6 address 2001:DB8::1/64

Cisco MLRE がデバイス上で有効になっているかを確認する方法は現在ありません。

注: Cisco MLRE 機能は Cisco IOS XE ソフトウェア リリース 3.4.1S で導入され、Embedded Services Processor 40(ASR1000-ESP40)または Embedded Services Processor 100(ASR1000-ESP100)を搭載した Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのそれ以降の Cisco IOS XE ソフトウェア バージョンにおいて、デフォルトで有効になっています。Embedded Services Processor 40(ASR1000-ESP40)または Embedded Services Processor 100(ASR1000-ESP100)を搭載した Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。

管理者が show inventory コマンドを実行することで、Cisco ASR 1000 デバイスに ASR1000-ESP40 または ASR1000-ESP100 がインストールされているかを確認することができます。Embedded Services Processor 40(ASR1000-ESP40)を搭載した Cisco ASR 1006 ルータで稼働する Cisco IOS XE ソフトウェアの show inventory コマンドの出力を次に示します。
asr1006#show inventory 
NAME: "Chassis", DESCR: "Cisco ASR1006 Chassis"
PID:ASR1006
NAME: "module F1", DESCR: "Cisco ASR1000 Embedded Services Processor, 40Gbps"
PID:ASR1000-ESP40
<出力を省略>

注: マルチキャストの IPv6 または MVPNv6 トラフィックを処理するように設定された Cisco IOS デバイスは、このの脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。



Cisco IOS XE ソフトウェアの L2TP トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性が存在するため、L2TP ネットワーク サーバ(LNS)終端または L2TPv3 Ethernet Pseudowire(xconnect)が有効になっている場合、特定の Layer 2 トンネリング プロトコル(L2TP)パケットを大量に処理するときに該当デバイスのリロードが引き起こされる可能性があります。デフォルトでは L2TP LNS 終端と xconnect は有効になっていません。

デバイスで L2TP LNS 終端が有効になっているかを確認するには、show run | include accept-dialin 特権 EXEC コマンドを使用します。show run | include accept-dialin の出力に accept-dialin が含まれる場合、L2TP LNS 終端が有効になっていることを示します。

L2TP ネットワーク サーバ(LNS)として設定されている Cisco IOS XE ソフトウェアの show run | include accept-dialin コマンドの出力を次に示します。
asr1004#sho running-config | include accept-dialin
accept-dialin
デバイスで xconnect が有効になっているかを確認するには、show run | include xconnect|l2tpv3 特権 EXEC コマンドを使用します。show run | include xconnect|l2tpv3 の出力に encapsulation l2tpv3 xconnect が含まれる場合、xconnect が有効になっていることを示します。

xconnect が設定されている Cisco IOS XE ソフトウェアの show run | include xconnect|l2tpv3 コマンド出力を次に示します。

asr1004#sho running-config | include xconnect|l2tpv3
encapsulation l2tpv3 xconnect 10.0.0.1 1000 encapsulation l2tpv3 pw-class my_class

:L2TPv3 Ethernet Pseudowire(xconnect)または L2TP LNS として設定された Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。



Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性が存在するため、ブリッジ ドメイン インターフェイス(BDI)機能が設定されている場合に、パケットの処理中に該当するデバイスのリロードが引き起こされる可能性があります。

Cisco IOS XE ソフトウェアは、次の条件がすべて満たされると、この脆弱性の影響を受ける可能性があります。
  • イングレス パスでパケットを処理する物理インターフェイスが、タグ付けなしのカプセル化タイプに設定されたレイヤ 3 インターフェイスである。
  • 受信パケットが BDI インターフェイス経由でルーティングされる。
  • パケットのイグレス物理インターフェイスがVLAN 書き換えのカプセル化タイプに設定されている。
注: BDI 機能は、デフォルトでは設定されていません。

デバイスが上述の条件を満たしているかを確認するには、show run | section interface 特権 EXEC コマンドを使用します。脆弱性のある BDI 設定で構成されているデバイスの Cisco IOS XE ソフトウェアの show run | section interface コマンド出力を次に示します。
	asr1004#sho running-config | section interface

interface GigabitEthernet0/0/3
ip address 192.168.2.1 255.255.255.0

!
interface BDI20 ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/0/4 no ip address negotiation auto service instance 1 ethernet encapsulation dot1q 201 rewrite egress tag pop 1 symmetric bridge-domain 20
注: この機能は Cisco IOS XE ソフトウェア バージョン 3.2.0S の Cisco ASR 1000 シリーズ アグリゲーション サービス ルータで導入されました。

:BDI が設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。


Cisco IOS XE ソフトウェアの SIP トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性が存在するため、仮想ルーティング内のネットワーク アドレス変換(NAT)と Session Initiation Protocol(SIP)アプリケーション レイヤ ゲートウェイ(ALG)インスペクションを経由する SIP パケットの処理中に、該当デバイスのリロードが引き起こされる可能性があります。攻撃者は、大量の SIP パケットを送信し、NAT が設定されているデバイスを通過させることで、この脆弱性を不正利用する可能性があります。

Cisco IOS XE ソフトウェアは、該当するデバイス上で VRF-aware NAT と SIP ALG が有効になっている場合に影響を受ける可能性があります。これらのサービスはデフォルトでは有効になっていません。

SIP ALG は NAT が有効にされると、デバイスで有効になります。管理者は NAT 設定で SIP ALG インスペクションを無効にすることができます。

SIP ALG は Zone-Based Policy Firewall(ZBFW)設定でも有効にすることができます。ZBFW で SIP ALG が設定されているデバイスは、この脆弱性の影響を受けません。

Cisco IOS XE ソフトウェアの設定において VRF-aware NAT が有効になっているかは、ip nat inside または ip nat outside コマンドが異なるインターフェイスに存在し、かつ少なくとも 1 つの ip nat グローバル コンフィギュレーション コマンドが vrf キーワードを有するかを確認します。

VRF-aware NAT が設定に存在するかを確認するには show running-config | include ip (nat | .* vrf .*) コマンドを使用します。次の例は、脆弱性のある設定を示しています。

asr1004#show running-config | include ip (nat | .* vrf .*)
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1 vrf VRF-SIP


出力が空白の場合、そのデバイスで稼働中の Cisco IOS XE ソフトウェア リリースにこの脆弱性はありません。返された出力が空白でない場合、SIP ALG サービスが NAT 設定で明示的に無効にされている可能性があります。SIP ALG が NAT 設定で無効になっているかを確認するには、show run | include ip nat 特権 EXEC コマンドを使用します。show run | include ip nat の出力に no ip nat service sip が含まれる場合、NAT 設定で SIP ALG が無効になっていることを示します。

NAT 設定で SIP ALG が無効になっている Cisco IOS XE ソフトウェアでの show run | include ip nat コマンドの出力を次に示します。

      asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1 vrf sip
no ip nat service sip udp port 5060
no ip nat service sip tcp port 5060

show run | include ip nat コマンドの出力に no ip nat service sip が含まれない場合、デバイスで稼働する Cisco IOS XE ソフトウェア リリースはこの脆弱性の影響を受けます。

:SIP ALG インスペクションが設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。


実行中のソフトウェア バージョンの確認

Cisco ASR 1000 シリーズ アグリゲーション サービス ルータの IOS XE ソフトウェア リリースは、Cisco IOS ソフトウェア リリースに対応しています。たとえば、Cisco IOS XE ソフトウェア リリース 3.6.2S は、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ IOS ソフトウェア リリース 15.2(2)S2 向けのソフトウェア リリースです。
Cisco IOS XE ソフトウェア リリースとその対応する Cisco IOS ソフトウェア リリースの照合の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_intro.html

デバイスで実行している Cisco IOS XE ソフトウェアが脆弱性のあるバージョンかどうかを確認するには、show version コマンドを実行します。次の例は、IOS XE ソフトウェア バージョン 3.6.2S、IOS バージョン 15.2(2)S2 を実行する Cisco IOS XE ソフトウェアを示します。

asr1004#show version 
Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.2(2)S2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 07-Aug-12 13:40 by mcpre
<output suppressed>

注: 1 つの Cisco IOS XE ソフトウェア イメージは、サブパッケージとも呼ばれる 7 つの個別モジュールで構成されています。パッケージは Cisco IOS XE ソフトウェアの In Service Software Upgrade(ISSU)機能を使用する設計となっており、 アップグレードが必要なサブパッケージのみをアップグレードできます。Cisco IOS XE ソフトウェア パッケージの詳細については、次を参照してください。
http://www.cisco.com/en/US/partner/prod/collateral/routers/ps9343/product_bulletin_c25-448387.html

パッケージが個別にアップグレードされた場合、show version コマンドの出力が異なる 可能性があります。

脆弱性が認められない製品

Cisco IOS ソフトウェアまたは Cisco IOS-XR ソフトウェアを実行する製品はこれらの脆弱性の影響を受けません。

1000 シリーズ ASR 向け Cisco IOS XE ソフトウェアを除いて、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

このセクションでは各脆弱性についての追加情報を提供します。

Cisco IOS XE ソフトウェアの IPv6 マルチキャスト トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性があり、認証されていないリモートの攻撃者が DoS 状態を引き起こす可能性があります。

この脆弱性は、ASR1000-ESP40 または ASR1000-ESP100 を搭載した Cisco 1000 シリーズ ASR による、断片化された IPv6 マルチキャスト トラフィックの不適切な処理に起因します。攻撃者は、該当システムを通過する、または該当システム宛ての断片化された IPv6 マルチキャスト パケットを送信することで、この脆弱性を不正利用する可能性があります。

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。


この脆弱性は、Cisco Bug ID CSCtz97563登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-1164 が割り当てられています。


Cisco IOS XE ソフトウェアの MVPNv6 トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性があり、認証されていないリモートの攻撃者が DoS 状態を引き起こす可能性があります。

この脆弱性は、ASR1000-ESP40 または ASR1000-ESP100 を搭載した Cisco 1000 シリーズ ASR による、断片化された IPv6 MVPN トラフィックの不適切な処理に起因します。攻撃者は、該当システムを通過する、または該当システム宛ての断片化された IPv6 MVPN パケットを送信することで、この脆弱性を不正利用する可能性があります。

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。


この脆弱性は、Cisco Bug ID CSCub34945登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1164 が割り当てられています。


Cisco IOS XE ソフトウェアの L2TP トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性があり、認証されていないリモートの攻撃者が DoS 状態を引き起こす可能性があります。

この脆弱性は、Cisco 1000 ASR による特定の L2TP パケットの不適切な処理に起因します。攻撃者は、該当システム宛てに特定の L2TP パケットを大量に送信することで、この脆弱性を不正利用する可能性があります。この脆弱性は、該当デバイスを通過する L2TP トラフィックによって不正利用されることはありません。

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。

この脆弱性は、Cisco Bug ID CSCtz23293登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1165 が割り当てられています。


Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性があり、認証されていないリモートの攻撃者がサービス拒否(DoS)状態を引き起こす可能性があります。

この脆弱性は、ブリッジ ドメイン インターフェイス (BDI)向けに設定された Cisco 1000 シリーズ ASR によるパケットの不適切な処理に起因します。攻撃者は該当システムを通過するパケットを送信することで、この脆弱性を不正利用する可能性があります。この脆弱性は、該当デバイス宛てにトラフィックを送信することによって不正利用されることはありません。

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。

この脆弱性は、Cisco Bug ID CSCtt11558登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1167 が割り当てられています。


Cisco IOS XE ソフトウェアの SIP トラフィックにおける DoS 脆弱性

Cisco IOS XE ソフトウェアには脆弱性があり、認証されていないリモートの攻撃者が DoS 状態を引き起こす可能性があります。

この脆弱性は、VRF-aware NAT および SIP ALG 向けに設定された Cisco 1000 シリーズ ASR による SIP パケットの不適切な処理に起因します。攻撃者は、NAT 向けに設定されているデバイスを通過する SIP パケットを大量に送信することで、この脆弱性を不正利用する可能性があります。この脆弱性は該当デバイス宛ての SIP トラフィックによって不正利用されることはありません。

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。


この脆弱性は、Cisco Bug ID CSCuc65609登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1166 が割り当てられています。



脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x/




CSCtz97563-- Cisco IOS XE Software IPv6 Multicast Traffic Denial of Service Vulnerability

Calculate the environmental score of CSCtz97563

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCub34945-- Cisco IOS XE Software MVPNv6 Traffic Denial of Service Vulnerability

Calculate the environmental score of CSCub34945

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCtz23293-- Cisco IOS XE Software L2TP Traffic Denial of Service Vulnerability

Calculate the environmental score of CSCtz23293

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCtt11558-- Cisco IOS XE Software Bridge Domain Interface Denial of Service Vulnerability

Calculate the environmental score of CSCtt11558

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCuc65609-- Cisco IOS XE Software SIP Traffic Denial of Service Vulnerability

Calculate the environmental score of CSCuc65609

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

次のいずれかの脆弱性について不正利用に成功した場合、リモートの認証されていない攻撃者によって Embedded Services Processor(ESP)カードのリロードが引き起こされ、サービスの中断が発生する可能性があります。

  • Cisco IOS XE ソフトウェアの IPv6 マルチキャスト トラフィックにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアの MVPNv6 トラフィックにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性
  • Cisco IOS XE ソフトウェアの SIP トラフィックにおける DoS 脆弱性

この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。

注:該当システムに 2 つの ESP カードが存在する場合、両方の ESP カードがリロードされる可能性があります。


Cisco IOS XE ソフトウェアの L2TP トラフィックに関する DoS 脆弱性の不正利用に成功した場合、リモートの認証されていない攻撃者によって ESP カードと RP カード両方のリロードが引き起こされ、サービスの中断が発生する可能性があります。

注:該当システムに 2 つの ESP または RP カードが存在する場合、両方の ESP および RP カードがリロードされる可能性があります。

この脆弱性の不正利用が繰り返されると、DoS 状態が継続する可能性があります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

各 Cisco IOS XE ソフトウェア リリースは、標準サポート リリースまたは延長サポート リリースのいずれかに分類されます。標準サポート リリースでは、全エンジニアリング サポート期間が 1 年、その間 2 回のリビルドが計画されています。延長サポート リリースは、全エンジニアリング サポート期間が 2 年、その間に 4 回のリビルドが計画されています。

Cisco IOS XE ソフトウェアのサポート終了ポリシーおよび特定の Cisco IOS XE ソフトウェア リリースに関する関連サポートの詳細については、次を参照してください。
http://www.cisco.com/en/US/prod/collateral/routers/ps9343/product_bulletin_c25-448258.html


Cisco IOS XE ソフトウェアの IPv6 マルチキャスト トラフィックにおける DoS 脆弱性

Vulnerability Major Release
Extended Release First Fixed Release
CSCtz97563

2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
3.4.4S
3.5 No
Vulnerable; migrate to one of the extended releases
3.6 No Vulnerable; migrate to one of the extended releases
3.7 Yes
Not affected
3.8 No Not affected


Cisco IOS XE ソフトウェアの MVPNv6 トラフィックにおける DoS 脆弱性

Vulnerability Major Release
Extended Release
First Fixed Release
CSCub34945
2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
3.4.5S
3.5 No
Vulnerable; migrate to one of the extended releases
3.6 No Vulnerable; migrate to one of the extended releases
3.7 Yes
3.7.1S
3.8 No Not affected


Cisco IOS XE ソフトウェアの L2TP トラフィックにおける DoS 脆弱性

Vulnerability Major Release
Extended Release
First Fixed Release
CSCtz23293
2.x -
Vulnerable; migrate to one of the extended releases
3.1 Yes Vulnerable; migrate to one of the extended releases
3.2 No
Vulnerable; migrate to one of the extended releases
3.3 No
Vulnerable; migrate to one of the extended releases
3.4 Yes
3.4.5S
3.5 No
Vulnerable; migrate to one of the extended releases
3.6 No Vulnerable; migrate to one of the extended releases
3.7 Yes 3.7.1S
3.8 No Not affected


Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性

Vulnerability Major Release
Extended Release
First Fixed Release
CSCtt11558
2.x -
Not affected
3.1 Yes Not affected
3.2 No
Vulnerable; migrate to one of the extended releases
3.3 No
Vulnerable; migrate to one of the extended releases
3.4 Yes
3.4.2S
3.5 No
Vulnerable; migrate to one of the extended releases
3.6 No Not affected
3.7 Yes
Not affected
3.8 No Not affected


Cisco IOS XE ソフトウェアの SIP トラフィックにおける DoS 脆弱性

Vulnerability Major Release
Extended Release
First Fixed Release
CSCuc65609
2.x -
Not affected
3.1 Yes Not affected
3.2 No Not affected
3.3 No
Not affected
3.4 Yes
3.4.5S
3.5 No
Not affected
3.6 No Not affected
3.7 Yes Not affected
3.8 No Not affected

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。


推奨リリース

下記の「Recommended Release」表は、このアドバイザリの公開時点において公開済みであるすべての脆弱性についての修正を含むリリースを示します。シスコは表の「Recommended Release」欄のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。


Affected Release

Recommended Release

Extended Release

2.x Vulnerable; migrate to one of the recommended extended releases
-
3.1 Vulnerable; migrate to one of the recommended extended releases
Yes
3.2 Vulnerable; migrate to one of the recommended extended releases
No
3.3 Vulnerable; migrate to one of the recommended extended releases
No
3.4 3.4.5S
Yes
3.5 Vulnerable; migrate to one of the recommended extended releases
No
3.6 Vulnerable; migrate to one of the recommended extended releases
No
3.7 3.7.1S Yes
3.8 Not vulnerable; No



回避策

これらの脆弱性を軽減する回避策はありません。


修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレード ソフトウェアを入手できます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。

  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

多言語による各地の電話番号、説明、E メール アドレスなどの TAC の連絡先情報については、Cisco Worldwide Contact を参照してください。http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

Cisco IOS XE ソフトウェアのブリッジ ドメイン インターフェイスにおける DoS 脆弱性は、お客様からのお問い合わせへの対応の際に発見されました。
その他の脆弱性は、シスコの社内テストで発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1117/1117745_cisco-sa-20130410-asr1000-j.html/

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk

本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。


更新履歴

Revision 1.2 2013-April-15 Updated software table for SIP vulnerability
Revision 1.1 2013-April-10 Added xconnect to L2TP traffic section of "Vulnerable Products."
Revision 1.0 2013-April-10 Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。シスコ セキュリティ アドバイザリについては、すべて http://www.cisco.com/go/psirt/ で確認できます。