Multiple Vulnerabilities in Cisco IOS XE Software for 1000 Series Aggregation Services Routers

2013 年 11 月 5 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 10 月 30 日) | フィードバック

Advisory ID: cisco-sa-20131030-asr1000

http://www.cisco.com/cisco/web/support/JP/112/1120/1120847_cisco-sa-20131030-asr1000-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2013 October 30 16:00 UTC (GMT)


要約

1000 シリーズ アグリゲーション サービス ルータ(ASR)用 Cisco IOS XE ソフトウェアには、次に示すサービス拒否(DoS)の脆弱性が存在します。

  • Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性
  • Cisco IOS XE ソフトウェアの PPTP トラフィックに関する DoS 脆弱性
  • Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性
  • Cisco IOS XE ソフトウェアの不正な EoGRE パケットに関する DoS 脆弱性
これらの脆弱性はそれぞれ独立しています。1 つの脆弱性に影響を受けるリリースが、その他の脆弱性からも影響を受けるとは限りません。

これらの脆弱性のいずれかが不正利用されると、認証されていないリモートの攻撃者が Embedded Services Processor(ESP)カードまたはルート プロセッサ(RP)カードのリロードを引き起こし、サービスを中断させる可能性があります。
不正利用が繰り返されると、DoS 状態が続く可能性があります。

注: Cisco IOS ソフトウェアおよび Cisco IOS-XR ソフトウェアは、これらの脆弱性の影響を受けません。

シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1120/1120847_cisco-sa-20131030-asr1000-j.html

該当製品

1000 シリーズ ASR 用 Cisco IOS XE ソフトウェアには複数の DoS 脆弱性が存在します。1000 シリーズ ASR 用 Cisco IOS XE ソフトウェアの影響を受けるバージョンは、各脆弱性によって異なります。影響を受けるバージョンの詳細については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。

脆弱性が認められる製品

該当する具体的なバージョンについては、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。

Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性

Cisco IOS XE ソフトウェアには、ゾーンベース ファイアウォール(ZBFW)によって検査される TCP または UDP 接続上の不正な ICMP エラー パケットを該当デバイスが処理する際に、デバイスがリロードする可能性のある脆弱性が含まれています。ZBFW はデフォルトでは有効になっていません。

デバイスで ZBFW が設定されていることを確認するには、show policy-map type inspect zone-pair 特権 EXEC コマンドを使用します。show policy-map type inspect zone-pair の出力において、設定済みのゾーン ペア クラス マップの下に Match: protocol tcp または Match: protocol udp、および Inspect が存在している場合、TCP または UDP プロトコルに対する ZBFW インスペクションが設定されていることを示します。

以下は、ZBFW として設定されている Cisco IOS XE ソフトウェアで show policy-map type inspect zone-pair を実行した際の出力です。
Router#show policy-map type inspect zone-pair 
Zone-pair: clients-servers
Service-policy inspect : clients-servers-policy

Class-map: L4-inspect-class (match-any)
Match: protocol tcp
Match: protocol udp
Match: protocol icmp
Inspect <output suppressed>
:ZBFW が設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。

Cisco IOS XE ソフトウェアの PPTP トラフィックに関する DoS 脆弱性

Cisco IOS XE ソフトウェアには、ネットワーク アドレス変換(NAT)および PPTP アプリケーション レイヤ ゲートウェイ(ALG)インスペクションが実行されるポイントツーポイント トンネリング プロトコル(PPTP)パケットを該当デバイスが処理する際に、デバイスがリロードする可能性のある脆弱性が存在します。攻撃者は、大量の PPTP パケットを送信し、NAT が設定されているデバイスを通過させることで、この脆弱性を不正利用する可能性があります。

Cisco IOS XE ソフトウェアは、該当するデバイス上で NAT と PPTP ALG が有効になっている場合に影響を受ける可能性があります。これらのサービスはデフォルトでは有効になっていません。

NAT が有効にされると、PPTP ALG がデバイスで自動的に有効になります。

Cisco IOS XE ソフトウェアの設定において NAT が有効になっていることは、ip nat inside または ip nat outside コマンドが異なるインターフェイスに存在し、かつ少なくとも 1 つの ip nat グローバル コンフィギュレーション コマンドが設定に存在していることで確認できます。

NAT が設定に存在することを確認するには show running-config | include ip nat コマンドを使用します。次の例は、脆弱性のある設定の例を示しています。

asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1

出力が空白の場合、そのデバイスで稼働中の Cisco IOS XE ソフトウェア リリースにこの脆弱性はありません。返された出力が空白でない場合、PPTP ALG サービスが NAT 設定で明示的に無効にされている可能性があります。PPTP ALG が NAT 設定で無効になっているかどうかを判断するには、show run | include ip nat 特権 EXEC コマンドを使用します。show run | include ip nat の出力に no ip nat service pptp が含まれる場合、NAT 設定で PPTP ALG が無効になっていることを示します。

NAT 設定で PPTP ALG が無効になっている Cisco IOS XE ソフトウェアでの show run | include ip nat コマンドの出力を次に示します。

      asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1
no ip nat service pptp

注: NAT 設定で PPTP ALG を無効にするコンフィギュレーション コマンドは、Cisco IOS XE ソフトウェア バージョン 3.9 以上で使用できます。Cisco IOS XE ソフトウェア バージョン 3.9 未満では、NAT 設定で PPTP ALG を無効にすることはできません。

PPTP ALG インスペクションが設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。


Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性

Cisco IOS XE ソフトウェアには、ネットワーク アドレス変換(NAT)が実行されるセグメント化された TCP パケットを該当デバイスが処理する際、デバイスがリロードする可能性のある脆弱性が含まれています。攻撃者は、NAT が設定されているデバイスを TCP パケットが通過し、そのセグメントの再構成が完了した後に大きな TCP パケットを送信することで、この脆弱性を不正利用する可能性があります。

NAT が有効化されると、TCP の再構成は自動的に有効化されます。

Cisco IOS XE ソフトウェアの設定において NAT が有効になっていることは、ip nat inside または ip nat outside コマンドが異なるインターフェイスに存在し、かつ少なくとも 1 つの ip nat グローバル コンフィギュレーション コマンドが設定に存在していることで確認できます。

NAT が設定に存在することを確認するには show running-config | include ip nat コマンドを使用します。次の例は、脆弱性のある設定の例を示しています。

asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1

この脆弱性の影響を受けるのは、Embedded Services Processor 100(ASR1000-ESP100)を搭載した Cisco ASR 1000 シリーズ アグリゲーション サービス ルータと、ASR 1002-X シリーズ ルータだけです。

Cisco ASR 1000 デバイスに ASR1000-ESP100 がインストールされているかどうか、または、デバイスが Cisco ASR 1002-X シリーズ ルータかどうかを判断するには、show inventory を実行します。ASR1000-ESP100 を搭載した Cisco ASR 1006 ルータで稼働する Cisco IOS XE ソフトウェアの show inventory コマンドの出力を次に示します。


asr1006#show inventory 
NAME: "Chassis", DESCR: "Cisco ASR1006 Chassis"
PID: ASR1006          
NAME: "module F1", DESCR: "Cisco ASR1000 Embedded Services Processor, 10 0Gbps"
PID: ASR1000-ESP10 0    
<output suppressed>

注: NAT が設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。


Cisco IOS XE ソフトウェアの不正な EoGRE パケットに関する DoS 脆弱性

Cisco IOS XE ソフトウェアには、EoGRE で設定されているインターフェイスにおいて、不正な IP バージョン 4(IPv4)またはIP バージョン 6(IPv6)Ethernet over Generic Routing Encapsulation(EoGRE)パケットを処理する際、デバイスがリロードする可能性のある脆弱性が含まれています。
EoGRE はデフォルトでは有効になっていません。

EoGRE が Cisco IOS XE ソフトウェア設定で有効になっていることは、tunnel mode ethernet gre ipv4 または tunnel mode ethernet gre ipv6 コマンドがトンネル インターフェイス設定に存在し、少なくとも 1 つの IP アドレスがそのインターフェイスで設定されていることで確認できます。

EoGRE NAT が設定に存在することを確認するには show running-config | include Tunnel|(tunnel mode|ip address .) コマンドを使用します。次の例は、脆弱性のある設定を示しています。

asr1004#show running-config | include Tunnel|(tunnel mode|ip address .) 
interface Tunnel0
ip address 192.168.1.1 255.255.255.0 tunnel mode ethernet gre ipv4

:EoGRE が設定されている Cisco IOS デバイスは、この脆弱性の影響を受けません。該当するバージョンの Cisco IOS XE ソフトウェアを実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータのみ、この脆弱性の影響を受けます。

実行中のソフトウェア バージョンの確認

Cisco ASR 1000 シリーズ アグリゲーション サービス ルータの IOS XE リリースは、Cisco IOS ソフトウェア リリースに対応しています。たとえば、Cisco IOS XE リリース 3.6.2S は、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ IOS リリース 15.2(2)S2 向けのソフトウェア リリースです。
Cisco IOS XE リリースとその対応する Cisco IOS リリースの照合の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_intro.html

デバイスで実行している Cisco IOS XE ソフトウェアが脆弱性のあるバージョンかどうかを確認するには、show version コマンドを実行します。次の例は、IOS XE ソフトウェア バージョン 3.6.2S を実行する Cisco IOS XE ソフトウェアを示します。同ソフトウェアは、IOS ソフトウェア バージョン 15.2(2)S2 にマッピングされます。

asr1004#show version 
Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.2(2)S2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 07-Aug-12 13:40 by mcpre
<output suppressed>

注:1 つの Cisco IOS XE ソフトウェア イメージは、サブパッケージとも呼ばれる 7 つの個別モジュールで構成されています。パッケージは Cisco IOS XE ソフトウェアの In Service Software Upgrade(ISSU)機能を使用する設計となっており、 アップグレードが必要なサブパッケージのみを選択してアップグレードできます。Cisco IOS XE ソフトウェア パッケージの詳細については、次を参照してください。
http://www.cisco.com/en/US/partner/prod/collateral/routers/ps9343/product_bulletin_c25-448387.html

パッケージが個別にアップグレードされた場合、show version コマンドの出力が異なる可能性があります。


脆弱性が認められない製品

Cisco IOS ソフトウェアまたは Cisco IOS XR ソフトウェアを実行する製品はこれらの脆弱性の影響を受けません。

Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ 向け Cisco IOS XE ソフトウェアを除いて、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

このセクションでは各脆弱性についての追加情報を提供します。

Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性

Cisco IOS XE ソフトウェアのゾーンベース ファイアウォール(ZBFW)による TCP または UDP インスペクション機能の脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があり、その結果、サービス拒否(DoS)状態が発生する恐れがあります。

この脆弱性は、ZBFW によって検査される TCP または UDP 接続上の不正な ICMP エラー パケットが、該当デバイスを通過する場合に不適切に処理されることに起因します。攻撃者は、検査される TCP または UDP セッションに属する大量の不正な ICMP エラー パケットを送信することによって、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こす可能性があり、その結果、DoS 状態が発生する恐れがあります。

この脆弱性は、Cisco Bug ID CSCtt26470登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-5543 が割り当てられています。


Cisco IOS XE ソフトウェアの PPTP トラフィックに関する DoS 脆弱性

Cisco IOS XE ソフトウェアの PPTP ALG 機能の脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があり、その結果、サービス拒否(DoS)状態が発生する恐れがあります。

この脆弱性は、Cisco IOS XE ソフトウェアの NAT 機能の一部として検査される PPTP パケットの不適切な処理に起因します。攻撃者は、NAT が設定されている該当システムを通過させるように大量の PPTP パケットを送信することで、この脆弱性を不正利用する可能性があります

不正利用に成功した場合、攻撃者によってシステムのリロードが引き起こされ、サービス拒否(DoS)状態になる可能性があります。不正利用が繰り返されると、DoS 状態が続く可能性があります。

この脆弱性は、Cisco Bug ID CSCuh19936登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-5545 が割り当てられています。


Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性

Cisco IOS XE ソフトウェアの TCP セグメント再構成の脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があり、その結果、サービス拒否(DoS)状態が発生する恐れがあります。

この脆弱性は、該当デバイスの NAT および ALG 機能によって処理される大きな TCP 再構成済みパケットの不適切な処理に起因します。攻撃者は、再構成後に大きな TCP パケットを送信し、脆弱性があるデバイスを通過させることによって、この脆弱性を不正利用する可能性があります。該当デバイスのリロードを引き起こす可能性があるのは、NAT および ALG 機能によって処理されるパケットだけです。この不正利用により、攻撃者は該当デバイスのリロードを引き起こす可能性があり、その結果、DoS 状態が発生する恐れがあります。

この脆弱性は、Cisco Bug ID CSCud72509登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-5546 が割り当てられています。


Cisco IOS XE ソフトウェアの不正な EoGRE パケットに関する DoS 脆弱性

Cisco IOS XE ソフトウェアの EoGRE 機能の脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があり、その結果、サービス拒否(DoS)状態が発生する恐れがあります。

この脆弱性は、不正な EoGRE パケットの不適切な処理に起因します。攻撃者は、EoGRE インターフェイスが設定された該当デバイス宛てに不正な IPv4 または IPv6 EoGRE パケットを送信することによって、この脆弱性を不正利用する可能性があります。この脆弱性は、該当デバイスを通過する不正な EoGRE パケットを送信させることによって不正利用することはできません。この不正利用により、攻撃者は該当デバイスのリロードを引き起こす可能性があり、その結果、DoS 状態が発生する恐れがあります。

この脆弱性は、Cisco Bug ID CSCuf08269登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-5547 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x/




CSCtt26470 - Cisco IOS XE Software Malformed ICMP Packet Denial of Service Vulnerability - Cisco IOS XE Software

Calculate the environmental score of CSCtt26470

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCuh19936 - Cisco IOS XE Software PPTP Traffic Denial of Service Vulnerability - Cisco IOS XE Software

Calculate the environmental score of CSCuh19936

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCud72509 - Cisco IOS XE Software TCP Segment Reassembly Denial of Service Vulnerability - Cisco IOS XE Software

Calculate the environmental score of CSCud72509

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed





CSCuf08269 - Cisco IOS XE Software Malformed EoGRE Packet Denial of Service Vulnerability - Cisco IOS XE Software

Calculate the environmental score of CSCuf08269

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

次のいずれかの脆弱性について不正利用に成功した場合、リモートの認証されていない攻撃者によって Embedded Services Processor(ESP)カードのリロードが引き起こされ、サービスの中断が発生する可能性があります。

  • Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性
  • Cisco IOS XE ソフトウェアの PPTP トラフィックに関する DoS 脆弱性
  • Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性
不正利用が繰り返されると、DoS 状態が続く可能性があります。

注:該当システムに 2 つの ESP カードが存在する場合、両方の ESP カードがリロードされる可能性があります。


Cisco IOS XE ソフトウェアの不正な EoGRE パケットに関する DoS 脆弱性の不正利用に成功した場合、リモートの認証されていない攻撃者によって ESP カードとルート プロセッサ(RP)カードの両方のリロードが引き起こされ、サービスの中断が発生する可能性があります。

不正利用が繰り返されると、DoS 状態が続く可能性があります。

注:該当システムに 2 つの ESP または RP カードが存在する場合、両方の ESP および RP カードがリロードされる可能性があります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

各 Cisco IOS XE ソフトウェア リリースは、標準サポート リリースまたは延長サポート リリースのいずれかに分類されます。標準サポート リリースでは、全エンジニアリング サポート期間が 1 年、その間 2 回のリビルドが計画されています。延長サポート リリースは、全エンジニアリング サポート期間が 2 年、その間に 4 回のリビルドが計画されています。
Cisco IOS XE ソフトウェアのサポート終了ポリシーおよび特定の Cisco IOS XE ソフトウェア リリースに関する関連サポートの詳細については、次を参照してください。

Cisco IOS XE ソフトウェアは IOS XE 3.9S までのタイムラインをサポートし、Cisco IOS XE ソフトウェアは Cisco IOS XE ソフトウェア リリース 3.10S 以降のタイムラインをサポートしています。


Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性

Vulnerability Major Release
Extended Release First Fixed Release
CSCtt26470

2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
3.4.2S
3.5 No
3.5.1S
3.6 No Not affected
3.7 Yes
Not affected
3.8 No Not affected
3.9 No Not affected
3.10 Yes Not affected


Cisco IOS XE ソフトウェアの PPTP トラフィックに関する DoS 脆弱性

Vulnerability Major Release
Extended Release First Fixed Release
CSCuh19936

2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
Not affected
3.5 No
Not affected
3.6 No Not affected
3.7 Yes
Not affected
3.8 No Not affected
3.9 No 3.9.2S
3.10 Yes Not affected


Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性

Vulnerability Major Release
Extended Release First Fixed Release
CSCud72509

2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
Not affected
3.5 No
Not affected
3.6 No Not affected
3.7 Yes
3.7.3S
3.8 No 3.8.1S
3.9 No Not affected
3.10 Yes Not affected


Cisco IOS XE ソフトウェアの不正な EoGRE パケットに関する DoS 脆弱性

Vulnerability Major Release
Extended Release First Fixed Release
CSCuf08269

2.x -
Not affected
3.1 Yes Not affected
3.2 No
Not affected
3.3 No
Not affected
3.4 Yes
Not affected
3.5 No
Not affected
3.6 No Not affected
3.7 Yes
Not affected
3.8 No Not affected
3.9 No 3.9.2S
3.10 Yes Not affected

推奨リリース

下記の「Recommended Release」表は、このアドバイザリの公開時点において公開済みであるすべての脆弱性についての修正を含むリリースを示します。シスコは表の「Recommended Release」欄のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

Affected Release

Recommended Release

Extended Release

2.x Not vulnerable
-
3.1 Not vulnerable
Yes
3.2 Not vulnerable
No
3.3 Not vulnerable
No
3.4 3.4.2S
Yes
3.5 3.5.1S
No
3.6 Not vulnerable
No
3.7 3.7.3S Yes
3.8 3.8.1S No
3.9 3.9.2S No
3.10 Not vulnerable
Yes




回避策

これらの脆弱性を軽減する回避策はありません。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。

  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

Cisco IOS XE ソフトウェアの不正な ICMP パケットに関する DoS 脆弱性と、Cisco IOS XE ソフトウェアの TCP セグメント再構成に関する DoS 脆弱性は、カスタマー サポート ケースの対応中に発見されたものです。

このセキュリティ アドバイザリで説明しているその他の脆弱性は、社内セキュリティ テストで発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/112/1120/1120847_cisco-sa-20131030-asr1000-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk

本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。


更新履歴

Revision 1.0 2013-October-30 Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは、http://www.cisco.com/go/psirt/ で確認することができます。