Multiple Vulnerabilities in Cisco IOS Software Multicast Domain Name System

2014 年 9 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2014 年 9 月 24 日) | フィードバック

Advisory ID: cisco-sa-20140924-mdns

http://www.cisco.com/cisco/web/support/JP/112/1126/1126241_cisco-sa-20140924-mdns-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2014 September 24 16:00 UTC (GMT)

関連資料:

関連する IPS シグニチャの表示関連する Applied Mitigation Bulletin の表示関連するブログの表示関連するイベント レスポンスの表示

要約

マルチキャスト ドメイン名システム(mDNS)機能を実装した Cisco IOS ソフトウェアには次のような脆弱性があり、mDNS パケットを処理する際に、承認されていないリモートの攻撃者によってサービス拒否(DoS)状態が引き起こされる可能性があります。

  • Cisco IOS ソフトウェア mDNS ゲートウェイのメモリ漏洩の脆弱性
  • Cisco IOS ソフトウェア SSL VPN のサービス拒否の脆弱性
シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126241_cisco-sa-20140924-mdns-j.html

注:2014 年 9 月 24 日の Cisco IOS ソフトウェア セキュリティ アドバイザリ バンドル公開には 6 件の Cisco Security Advisory が含まれています。これらのアドバイザリはすべて、Cisco IOS ソフトウェアの脆弱性に対処するものです。個別の公開リンクは、次のリンクにある「Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication」に掲載されています。

http://www.cisco.com/cisco/web/support/JP/112/1126/1126235_Cisco_ERP_sep14-j.html

該当製品

脆弱性が認められる製品

この脆弱性の影響を受ける Cisco IOS ソフトウェアまたは Cisco IOS XE ソフトウェアが稼働するシスコ デバイスには、この脆弱性が存在します。Cisco mDNS ゲートウェイ機能は、Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアにおいて、デフォルトで有効になっています。mDNS パケットを処理するために、この脆弱性の影響を受けるデバイスで必要となる特定の構成はありません。

Cisco IOS デバイスまたは Cisco IOS XE デバイスが mDNS パケットを処理するかどうかを確認するには、デバイスにログインし、show ip socketshow udp、または show control-plane host open-ports のいずれかのコマンドライン インターフェイス(CLI)コマンドを実行します。出力に、UDP ポート 5353 で listen している IP アドレスが表示される場合、そのデバイスは脆弱です。

次の例は、この脆弱性の影響を受ける Cisco IOS デバイスの表示例です。UDP ポート 5353 でソケットが開いているため、このデバイスには脆弱性が存在します。
Router#show ip socket  
Proto Remote Port Local Port In Out Stat TTY OutputIF 
17 --listen-- 192.168.0.1 67 0 0 1 0 
17 --listen-- 192.168.0.1 68 0 0 1 0 
17 --listen-- 224.0.0.251 5353 0 0 1 0
Router#

Router#sho udp 
Proto        Remote      Port      Local       Port  In Out  Stat TTY OutputIF
17     224.0.0.251      5353 --any--          5353   0   0 1000021   0 
17(v6) FF02::FB         5353 --any--          5353   0   0 1020021   0 
Router#

Router#sho control-plane host open-ports 
Active internet connections (servers and established)
Prot               Local Address             Foreign Address                  Service    State
 tcp                        *:22                         *:0               SSH-Server   LISTEN
 tcp                        *:23                         *:0                   Telnet   LISTEN
 udp                      *:5353               224.0.0.251:0         IOS host service   LISTEN
Router#
注:Cisco Bug ID CSCum51028 の修正前の Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアは、デフォルトで mDNS 機能が有効となります。この動作は、Cisco Bug ID CSCum51028 で変更され、現在ではデフォルトで無効になっています。管理者が mDNS 機能の有効化を希望する場合は、デバイスで手動により設定する必要があります。

シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインし show version コマンドを実行してシステム バナーを表示させます。「Internetwork Operating System Software」、「Cisco IOS Software」あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。その後ろにイメージ名が括弧の間に表示され、続いてバージョンと Cisco IOS ソフトウェア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドがない場合や、表示が異なる場合があります。

次の例は、シスコ製品で Cisco IOS ソフトウェア リリース 15.2(4)M5 が稼働し、インストールされているイメージ名が C3900-UNIVERSALK9-M であることを示しています。

Router> show version 
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team
!--- output truncated 

Cisco IOS ソフトウェア リリースの命名規則の追加情報は、ホワイト ペーパー「Cisco IOS and NX-OS Software Reference Guide」で確認できます。

脆弱性が認められない製品

Cisco IOS XR ソフトウェアは、これらの脆弱性の影響を受けません。

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

シスコの Service Discovery Gateway(mDNS Gateway)は、サブネット中のサービスやデバイスに対して制御された安全なアクセスを可能にする IOS コンポーネントです。このコンポーネントは、設定されたすべてのネットワーク セグメントでサービス アナウンスメントをリッスンし、サービスやアドレスのキャッシュを構築します。

Cisco IOS ソフトウェア mDNS ゲートウェイのメモリ漏洩の脆弱性

マルチキャスト ドメイン名システム(mDNS)を実装した Cisco IOS ソフトウェアの脆弱性により、承認されていないリモート攻撃者によってメモリ漏洩状態が発生することがあり、これは最終的に該当デバイスのインターフェイス キュー ウェッジやリロードにつながることがあります。

この脆弱性は、該当デバイス宛ての巧妙に細工された mDNS パケットが適切に解析されないことに起因します。攻撃者は、不正な mDNS パケットを送信して該当デバイスに処理させることで、この脆弱性を不正利用する可能性があります。攻撃者はこの不正利用を通じてメモリ漏洩状態を発生させる可能性があり、それは最終的に該当デバイスのインターフェイスのウェッジやリロードにつながることがあります。

この脆弱性は、IPv4 パケットと IPv6 パケットの両方を使用して不正利用することができます。この脆弱性は、デバイス上に構成されたインターフェイスの IPv4/IPv6 ユニキャスト アドレス、IPv4 マルチキャスト アドレス 224.0.0.251、または IPv6 マルチキャスト アドレス FF02::FB のいずれかを使用して、ポート 5353 宛ての不正な UDP パケットを送信すると引き起こされます。

この脆弱性は該当デバイス宛てに送信されるトラフィックによってのみトリガされ、該当デバイスを通過するトラフィックによっては不正利用されません。

脆弱な設定条件を満たすデバイスでは、不正な UDP mDNS パケットがこの脆弱性を引き起こす場合があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する特定の設定を持つ mDNS パケットを作成できます。この脆弱性が不正利用されると、メモリ漏洩が発生してインターフェイスのウェッジにつながったり、最終的に該当デバイスのリロードにつながったりすることがあります。インターフェイス キュー ウェッジ状態から回復するには、デバイスをリロードする必要があり、これはサービス拒否(DoS)状態を引き起こす可能性があります。

インターフェイス キュー ウェッジとは、Cisco IOS ルータやスイッチが特定のパケットを受信してキューに格納した際に、処理エラーによってキューからパケットを削除できなくなるという脆弱性クラスの 1 つです。キュー ウェッジの詳細や Cisco IOS ソフトウェアでブロックされたインターフェイスを検出するいくつかのメカニズムについては、このアドバイザリの「回避策」セクションを参照してください。また、Cisco Security Blog に記載されている「Cisco IOS のキュー ウェッジについて」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/

この脆弱性は、Cisco Bug ID CSCuj58950登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID CVE-2014-3358 が割り当てられています。

Cisco IOS ソフトウェア mDNS ゲートウェイ のサービス拒否の脆弱性

Cisco IOS ソフトウェアのマルチキャスト DNS(mDNS)ゲートウェイ機能における脆弱性のため、認証されていないリモートの攻撃者によって脆弱性のあるデバイスがリロードさせられる可能性があります。

この脆弱性は、mDNS パケットの不適切な検証に起因します。攻撃者は、不正な IPv4 パケットまたは IPv6 パケットを UDP ポート 5353 に送信することによって、この脆弱性を不正利用できます。この脆弱性を不正利用することにより、攻撃者はサービス拒否(DoS)状態を引き起こすことができる場合があります。

この脆弱性は、IPv4 パケットと IPv6 パケットの両方を使用して不正利用することができます。この脆弱性は、デバイス上に構成されたインターフェイスの IPv4/IPv6 ユニキャスト アドレス、IPv4 マルチキャスト アドレス 224.0.0.251、または IPv6 マルチキャスト アドレス FF02::FB のいずれかを使用して、ポート 5353 宛ての不正な UDP パケットを送信すると引き起こされます。

この脆弱性は該当デバイス宛てに送信されるトラフィックによってのみトリガされ、該当デバイスを通過するトラフィックによっては不正利用されません。

脆弱な設定条件を満たすデバイスでは、不正な UDP mDNS パケットがこの脆弱性を引き起こす場合があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する特定の設定を持つ mDNS パケットを作成できます。この脆弱性が不正利用されると、影響を受けたデバイスがリロードさせられる可能性があります。

この脆弱性は、Cisco Bug ID CSCul90866登録ユーザ専用)として文書化され、CVE ID として CVE-2014-3357 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://tools.cisco.com/security/center/cvssCalculator.x


CSCuj58950 - Cisco IOS Software mDNS Memory Leak Vulnerability

Calculate the environmental score of CSCuj58950

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCul90866 - Cisco mDNS Gateway Denial of Service Vulnerability

Calculate the environmental score of CSCul90866

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

Cisco IOS ソフトウェア mDNS ゲートウェイのメモリ漏洩の脆弱性が不正利用された場合、メモリの漏洩状態が発生し、最終的に該当デバイスのインターフェイス ウェッジやリロードにつながることがあります。

Cisco IOS ソフトウェア mDNS ゲートウェイ サービス拒否の脆弱性が不正利用された場合、該当デバイスのリロードが引き起こされることがあります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

Cisco IOS ソフトウェア

シスコでは、Cisco IOS ソフトウェアの脆弱性を判断するためのツールを提供しています。Cisco IOS ソフトウェア チェッカーを使用すると、お客様は次のタスクを実行できます。

  • ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードして、検索を開始する。
  • show version コマンド出力を入力してツールで解析する。
  • 以前に公開されたすべての Cisco Security Advisory、特定の公開内容、または 2014 年 9 月のすべてのバンドル公開内容を含めて、カスタマイズされた検索を作成する。

このツールにより、クエリされたソフトウェア リリースに影響を与える Cisco Security Advisory と、各 Cisco Security Advisory のすべての脆弱性を修正する最初のリリース(初回修正)を見つけることができます。このツールはさらに、表示された全アドバイザリのすべての脆弱性を修正する最初のリリース(総合初回修正)も返します。Cisco IOS ソフトウェア チェッカーを使用するか、または以下のフィールドに Cisco IOS ソフトウェアのリリースを入力し、このバンドル公開に含まれているいずれかのアドバイザリの影響を受けるものがあるかどうかを判断してください。

(入力例:15.1(4)M2)

Cisco IOS XE ソフトウェア

Cisco IOS XE ソフトウェアは、このアドバイザリで説明されている脆弱性の影響は受けません。

Cisco IOS XE ソフトウェア リリースの Cisco IOS ソフトウェア リリースへのマッピングについては、『Cisco IOS XE 2 リリース ノート』、『Cisco IOS XE 3S リリース ノート』、『Cisco IOS XE 3SG リリース ノート』を参照してください。


Cisco IOS XE Software Release First Fixed Release First Fixed Release for All Advisories in the September 2014 Cisco IOS Software Security Advisory Bundled Publication
2.1.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
2.2.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
2.3.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
2.4.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
2.5.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
2.6.x Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.1.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.1.xSG Not vulnerable Not vulnerable
3.2.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.2.xSE

Not vulnerable

Vulnerable; migrate to 3.3.2SE
3.2.xSG Not vulnerable Not vulnerable
3.2.xXO Not vulnerable Not vulnerable
3.2.xSQ Not vulnerable Not vulnerable
3.3.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.3.xSE 3.3.2SE 3.3.2SE
3.3.xSG Not vulnerable. Vulnerable; migrate to 3.4.4SG or later.
3.3.xXO 3.3.1XO 3.3.1XO
3.3.xSQ Not vulnerable Not vulnerable
3.4.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.4.xSG Not vulnerable 3.4.4SG
3.4.xSQ Not vulnerable Not vulnerable
3.5.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.5.xE 3.5.2E 3.5.2E
3.6.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.6.xE Not vulnerable Not vulnerable
3.7.xS Not vulnerable Vulnerable; migrate to 3.7.6S or later.
3.7.xE Not vulnerable Not vulnerable
3.8.xS Not vulnerable Vulnerable; migrate to 3.10.4S or later.
3.9.xS Not vulnerable Vulnerable; migrate to 3.10.4S or later.
3.10.xS Not vulnerable 3.10.4S
3.11.xS 3.11.1S Vulnerable; migrate to 3.12S or later.
3.12.xS Not vulnerable Not vulnerable
3.13.xS Not vulnerable Not vulnerable


Cisco IOS XR ソフトウェア

Cisco IOS XR ソフトウェアは、2014 年 9 月の Cisco IOS Software Security Advisory バンドル公開に含まれている脆弱性の影響を受けません。

回避策

アクセス コントロール リスト

Cisco Bug ID CSCum51028 の修正を含んでいない Cisco IOS および Cisco IOS XE ソフトウェア リリースについては、現在手動でポートを閉じたり、サービスを無効にしたりする方法がありません。

それらのリリースについては、可能な回避策の 1 つとして、拡張アクセス コントロール リスト(ACL)を作成し、インターフェイスに適用して UDP ポート 5353 へのトラフィックをブロックする方法があります。

この脆弱性の対象となっている機能は伝送手段として UDP を用いているため、送信者の IP アドレスを詐称することが可能です。このような詐称によって、信用できる IP アドレスからこれらの UDP ポートへの通信のみを許可する ACL が不正に利用される場合があります。ACL に加えて、管理者は uRPF を有効にする必要があります。これは Cisco IOS ソフトウェアのセキュリティ機能で、転送されたパケットのソース アドレスの到達可能性を確認します。この 2 つのテクノロジーを併組み合わせると、ACL 単独よりも強力な回避策が得られます。

次に示す ACL の例を、導入されるインターフェイス アクセス リストの一部として含める必要があります。これにより、UDP ポート 5353 を宛先とするトラフィックからデバイスを保護できます。
!---
!--- Deny IPv4 mDNS traffic to a device
!--- 

access-list 150 deny udp any any eq 5353  

!--- Permit/deny all other Layer 3 and Layer 4 IPv4 traffic in 
!--- accordance with existing security policies and 
!--- configurations. Permit all other traffic to transit the
!--- device.  

access-list 150 permit ip any any  

!---
!--- Deny IPv6 mDNS traffic to a device
!--- 
ipv6 access-list v6_list deny udp any any eq 5353 !--- Permit/deny all other Layer 3 and Layer 4 IPv6 traffic in !--- accordance with existing security policies and !--- configurations. Permit all other traffic to transit the !--- device. permit ipv6 any any !--- Apply access-list to all interfaces (only one example !--- shown) interface fastEthernet 2/0 ip access-group 150 in ipv6 traffic-filter v6_list in
コントロール プレーン ポリシング

コントロール プレーン ポリシング(CoPP)は、信頼できない UDP トラフィックがデバイスに進入するのをブロックするために使用することができます。CoPP 機能は、Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T でサポートされています。管理およびコントロール プレーンを保護するために CoPP をデバイスに設定し、既存のセキュリティ ポリシーと設定に従って認定されたトラフィックだけがインフラストラクチャ デバイス宛てに送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。

次に示す CoPP の例を、導入される CoPP の一部として含める必要があります。これにより、UDP ポート 5353 を宛先とするトラフィックからデバイスを保護できます。
!---
!--- Match IPv4 mDNS traffic with permit statement
!--- 

access-list 150 permit udp any any eq 5353  

!--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and 
!--- Layer4 IPv4 traffic in accordance with existing security policies 
!--- and configurations for traffic that is authorized to be sent 
!--- to infrastructure devices 
!--- 

access-list 150 deny ip any any  

!--- Create a Class-Map for traffic to be policed by
!--- the CoPP feature
!---

class-map match-all drop-udp-class 
match access-group 150

!--- Create a Policy-Map that will be applied to the 
!--- Control-Plane of the device.  

policy-map drop-udp-traffic class drop-udp-class drop  

!--- Apply the Policy-Map to the 
!--- Control-Plane of the device  

control-plane service-policy 
input drop-udp-traffic
上記の CoPP の例では、「permit」アクションでアクセス コントロール リスト エントリ(ACE)に該当する攻撃の可能性のあるパケットを照合し、policy-map の「drop」機能でそれらのパケットが廃棄されますが、その一方、「deny」アクション(記載されていません)に該当するパケットは、policy-map の「drop」機能の影響を受けません。policy-map の構文は、12.2S と 12.0S Cisco IOS ソフトウェア トレインでは異なるので注意が必要です。
policy-map drop-udp-traffic 
  class drop-udp-class 
  police 32000 1500 1500 conform-action drop exceed-action drop
注:シスコでは、IPv6 トラフィックに対して CoPP を導入することを推奨していません。

コントロール プレーン ポリシング(CoPP)機能の設定および使用に関する詳細は、「コントロール プレーン ポリシングの実装に関するベスト プラクティス」(http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html)および「コントロール プレーン ポリシング」(http://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/htcpp.html)に記載されています。

Cisco bug ID CSCum51028 の修正を含む Cisco IOS および Cisco IOS XE ソフトウェア リリースについては、no service-routing mdns-sd のコマンドライン インターフェイス グローバル コンフィギュレーション(CLI)コマンドを設定することにより、mDNS ゲートウェイ機能を無効にできます。

Cisco IOS ソフトウェア mDNS メモリ漏洩の脆弱性については、次の識別メカニズムがあります。

組み込みイベント マネージャ

脆弱性のある Cisco IOS デバイス上で、Tool Command Language(TCL)に基づく組み込みイベント マネージャ(EEM)ポリシーを利用すると、この脆弱性によって引き起こされたインターフェイス キュー ウェッジを識別して、検出することができます。このポリシーによって、管理者は Cisco IOS デバイスのインターフェイスをモニタでき、インターフェイス入力キューがいっぱいになると、それを検出できます。Cisco IOS EEM がこの脆弱性による不正利用の可能性を検出すると、それに反応してポリシーがネットワーク管理者にアラートを送信し、それを受けて管理者は、入力キューをクリアするためにデバイスのアップグレード、適切な移行、またはリロードを行うことを判断できます。

TCL スクリプトは、次のリンクの「Cisco Beyond: Embedded Event Manager(EEM)Scripting Community」からダウンロードできます。https://supportforums.cisco.com/docs/DOC-19337

また、Cisco Security Blog に記載されている「Cisco IOS のキュー ウェッジについて」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/

ネットワーク内のシスコのデバイスに適用可能な他の対応策については、このアドバイザリの付属ドキュメント『Cisco Applied Mitigation Bulletin』を参照してください。このドキュメントは http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=35023 から入手できます。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。
  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • Eメール:tac@cisco.com
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

これらの脆弱性は、内部調査で発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security ポータルに掲載されます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126241_cisco-sa-20140924-mdns-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署・シつきで次の電子メールで配信されています。
  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • fulldisclosure@seclists.org
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

更新履歴

Revision 1.0 2014-September-24 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html を参照してください。この Web ページには、Cisco Security Advisory に関してメディアが問い合わせる際の指示が掲載されています。すべての Cisco Security Advisory は、http://www.cisco.com/go/psirt/ で確認することができます。