Cisco IOS または Cisco IOS XR の稼動する シスコ・ルータまたはスイッチには、リモートからの利用が可能な 不正な IP オプションに関する脆弱性が存在し、Denial of Service(サービス妨害, DoS)攻撃を受ける可能性があります。また、この脆弱性を利用して不正なコードが実行される可能性があります。本脆弱性は、特定の不正な IP オプションを IP ヘッダに含む Internet Control Message Protocol (ICMP) パケット、Protocol Independent Multicast version 2 (PIMv2) パケット、Pragmatic General Multicast (PGM) パケット、または URL Rendezvous Directory (URD) パケットが処理される際に利用される可能性があります。他の IP プロトコルはこの問題の影響を受けません。
シスコでは、本脆弱性対処用の無償のソフトウェアを提供します。
また、本脆弱性の影響を軽減する回避策もあります。
この脆弱性はシスコ社内の試験において発見されました。
シスコ製品で稼動しているソフトウェアを確認するには、機器にログインして show version コマンドを実行し、システム・バナーを表示させます。Cisco IOS ソフトウェアの場合、"Internetwork Operating System Software" または単純に "IOS" と表示されます。そのすぐ後にイメージ名が括弧の中に表示され(場合により改行されています)、続いて "Version" と IOS リリース名が表示されます。 Cisco IOS XR ソフトウェアの場合は、"Cisco IOS XR Software" と表示され、"Version" とバージョン番号がそれに続きます。他のシスコ機器では show version コマンドが無い場合や、異なる表示をする場合があります。次の例では、シスコ製品にて Cisco IOS リリース 12.2(14)S16 が稼動し、イメージ名が C7200-IS-M であることを示しています。
Cisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-IS-M), Version 12.2(14)S16, RELEASE SOFTWARE (fc1)
このリリース・トレインのラベルは "12.2" です。
Cisco IOS XR ソフトウェアは Cisco IOS ソフトウェア・ファミリーの一員で、マイクロ・カーネルを使用した分散オペレーティング・システムです。Cisco IOS XR は Cisco Carrier Routing System 1 (CRS-1) および Cisco XR 12000 シリーズ・ルータでのみ稼動します。
Cisco IOS XR についての追加情報は次の URL をご参照下さい。
http://www.cisco.com/en/US/products/ps5845/index.html
Cisco IOS ソフトウェアが稼動し脆弱性のある機器へ直接不正パケットが送信されると機器のリロードの発生、または不正コードが実行される可能性があります。
Cisco IOS XR ソフトウェアが稼動し脆弱性のある機器へ直接不正パケットが送信されると ipv4_io プロセスのリスタートの発生、または不正コードが実行される可能性があります。ipv4_io プロセスが稼動するのは、ルート・プロセッサ (RP)、分散ルート・プロセッサ (DRP)、モジュラ・サービス・カード (MSC)を含む CRS-1 ノード、及び XR 12000 ラインカードです。ipv4_io プロセスがリスタートしている間は、機器宛の ICMP トラフィックと、例外パント処理されるトラフィックは全てドロップされます。例外パント処理の例としては、IPヘッダに IP オプションがある場合や Time-to-Live 値が 0 または 1 の場合等、IP ヘッダでの追加処理が必要なものや、レイヤ 2 キープアライブなどが挙げられます。ノードやライン・カード宛ての CLNS トラフィックは影響を受けません。ipv4_io プロセスが繰り返しリスタートした場合、CRS-1 ノードや XR 12000 ライン・カードが再起動する可能性があり、ノードやラインカードを通過するトラフィックに対して Denial of Service(サービス妨害, DoS)状態の原因となりえます。
全ての Cisco IOS 及び Cisco IOS XR バージョンが稼働する機器においてデフォルトで ICMP echo-request(タイプ 8)パケットが処理されます。この動作を変更することは出来ません。
全ての Cisco IOS バージョンが稼働する機器においてデフォルトで ICMP timestamp(タイプ 13)パケットが処理されます。この動作を変更することは出来ません。
全ての Cisco IOS XR バージョンが稼働する機器においてデフォルトで ICMP timestamp(タイプ 13)パケットは処理されません。この動作を変更することは出来ません。
CSCdz50424 の実装により、ルータはデフォルトでは ICMP information request(タイプ 15)パケットを処理しなくなりました。CSCdz50424 を含む Cisco IOS は 12.3, 12.3T, 12.4, 12.4T および 12.0S と 12.2S の最近のものです。詳細は CSCdz50424
(
登録 ユーザーのみ)をご確認下さい。
CSCdz50424 を実装した Cisco IOS では、ICMP information request パケットを処理するように変更されたルータは、ip information-reply インターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-config コマンドを実行することで以下の例のように確認できます。
router#show running-config | include information-reply
ip information-reply
または、
router#show running-config
interface FastEthernet0/0
ip address 192.0.2.1 255.255.255.0
ip information-reply
他の全ての Cisco IOS バージョンでは、デフォルトでは ICMP information request (タイプ 15)パケットを処理します。この動作は変更できません。この動作がデフォルトで、機器に ip information-reply が実装されていないからです。
全ての IOS XR バージョンの稼動する機器では、デフォルトで ICMP information request (タイプ 15) パケットは処理されません。この動作は変更できません。
Cisco IOS バージョン 10.0 より、デフォルトでは ICMP address mask request (タイプ 17) パケットは処理されません。ICMP address mask request パケットを処理するように変更されたルータでは、ip mask-reply インターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-config コマンドを実行することで以下の例のように確認できます。
router#show running-config | include mask-reply
ip mask-reply
または、
router#show running-config
interface FastEthernet0/0
ip address 192.0.2.1 255.255.255.0
ip mask-reply
全ての IOS XR バージョンの稼動する機器において、デフォルトでは ICMP address mask request (タイプ 17) は処理されません。ICMP address mask request パケットを処理するように変更されたルータでは、ip mask-reply インターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-config コマンドを実行することで以下の例のように確認できます。
RP/0/RP0/CPU0:router#show running-config | include mask-reply
Building configuration...
ipv4 mask-reply
または、
RP/0/RP0/CPU0:router#show running-config
interface POS0/1/3/0
ipv4 address 192.0.2.1 255.255.255.252
ipv4 mask-reply
PIMv2 を処理するように定義された Cisco IOS の稼動するルータでは、"ip pim" で始まるインターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-conifg コマンドを実行することで以下のように確認できます。
router#show running-config | include ip pim
ip pim sparse-mode
または、
router#show running-config
interface FastEthernet0/0
ip address 192.0.2.1 255.255.255.0
ip pim sparse-dense-mode
ルータが PIMv2 を処理するように定義されているかどうかは、次の例のように show ip pim interface コマンドを用いて確認することもできます。
Cisco IOS XR が稼動する機器で PIMv2 パケットが処理されるように定義されているかを確認するためには、次の例のように show pim interface コマンドを使用します。
PGM を処理するように定義されたルータでは、ip pgm router インターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-config コマンドを実行することで以下の例のように確認できます。
router#show running-config | include ip pgm
ip pgm router
または、
router#show running-config
interface FastEthernet1/0
ip address 192.0.2.1 255.255.255.0
ip pim sparse-dense-mode
ip pgm router
または、
router#show running-config
interface FastEthernet1/0
ip address 192.0.2.1 255.255.255.0
ip pgm router
PGM の定義されていないルータは PGM への攻撃に対して脆弱ではありません。PGM はデフォルトでは有効ではありません。
PGM に関する追加情報は以下をご参照下さい。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca798.html
Cisco IOS XR は PGM をサポートしておらず、脆弱性を利用した PGM パケットの影響を受けません。
URD を処理するように定義されたルータでは、ip urd または ip urd proxy インターフェース・コンフィギュレーション・コマンドが定義されています。これは、show running-config コマンドを実行することで以下の例のように確認できます。
router#show running-config | include ip urd
ip urd
または、
router#show running-config | include ip urd
ip urd proxy
または、
router#show running-config
interface FastEthernet1/0
ip address 192.0.2.1 255.255.255.0
ip pim sparse-mode
ip urd
または、
router#show running-config
interface FastEthernet1/0
ip address 192.0.2.1 255.255.255.0
ip pim sparse-dense-mode
ip urd proxy
または、
router#show running-config
interface FastEthernet1/0
ip address 192.0.2.1 255.255.255.0
ip urd
URD の定義されていないルータは URD への攻撃に対して脆弱ではありません。URD はデフォルトでは有効ではありません。
URDに関する追加情報は以下をご参照下さい。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca795.html
Cisco IOS XR は URD をサポートしておらず、脆弱性を利用した URD パケットの影響を受けません。
Cisco IOS における脆弱性の利用に成功した場合、機器のリロードまたは不正コード実行の可能性があります。継続的な攻撃は結果的にサービス妨害攻撃(DoS)となります。
Cisco IOS XR における脆弱性の利用に成功した場合、ipv4_io プロセスのリスタートまたは不正コード実行の可能性があります。継続的な攻撃は CRS-1 ノードまたは XR 12000 ラインカードの再起動につながり、結果的にサービス妨害攻撃(DoS)となります。
|
Major Release |
Availability of Repaired Releases |
|
Affected 12.0-Based Release
|
Rebuild
|
Maintenance |
|
12.0
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0DA
|
Vulnerable; migrate to 12.2(10)DA5 or later
|
|
12.0DB
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.0DC
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.0S
|
12.0(27)S3
|
12.0(28)S
|
|
12.0SC
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.0SL
|
Vulnerable; migrate to 12.0(28)S or later
|
|
12.0SP
|
Vulnerable; migrate to 12.0(28)S or later
|
|
12.0ST
|
Vulnerable; migrate to 12.0(28)S or later
|
|
12.0SX
|
12.0(25)SX11
|
12.0(30)SX
|
|
12.0SY
|
|
12.0(27)SY
|
|
12.0SZ
|
|
12.0(30)SZ
|
|
12.0T
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0W
|
12.0(28)W5(32c); available 31-Jan-07
|
|
|
12.0WC
|
12.0(5)WC15
|
|
|
12.0WT
|
Vulnerable; contact TAC
|
|
12.0XA
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XB
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XC
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XD
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XE
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.0XF
|
Not vulnerable
|
|
12.0XG
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XH
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XI
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XJ
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XK
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XL
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XM
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XN
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XQ
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XR
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XS
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.0XV
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.0XW
|
Vulnerable; migrate to 12.0(5)WC15 or later
|
|
Affected 12.1-Based Release |
Rebuild |
Maintenance |
|
12.1
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1AA
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1AX
|
Vulnerable; for c3750-ME, migrate to 12.2(25)EY or later. For
c2970 and 3750, migrate to 12.2(25)SE or later.
|
|
12.1AY
|
Vulnerable; migrate to 12.1(22)EA8
|
|
12.1AZ
|
Vulnerable; migrate to 12.1(22)EA8
|
|
12.1CX
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1DA
|
Vulnerable; migrate to 12.2(10)DA5 or later
|
|
12.1DB
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.1DC
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.1E
|
|
12.1(23)E
|
|
12.1EA
|
12.1(22)EA8
|
|
|
12.1EB
|
|
12.1(23)EB
|
|
12.1EC
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.1EO
|
12.1(19)EO6, available 31-Jan-07
|
|
|
12.1(20)EO3
|
|
|
12.1EU
|
Vulnerable; migrate to 12.2(25)EWA or later
|
|
12.1EV
|
Vulnerable; migrate to 12.2(26)SV1 or later
|
|
12.1EW
|
Vulnerable; migrate to 12.2(18)EW3 or later
|
|
12.1EX
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.1EY
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.1EZ
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.1T
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XA
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XB
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XC
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XD
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XE
|
Vulnerable; migrate to 12.1(23)E or later
|
|
12.1XF
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XG
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XH
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XI
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XJ
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XL
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XM
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XP
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XQ
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XR
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XS
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XT
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XU
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XV
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1XW
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XX
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XY
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1XZ
|
Vulnerable; migrate to 12.2(37)or later
|
|
12.1YA
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YB
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YC
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YD
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YE
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YF
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YH
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YI
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.1YJ
|
Vulnerable; migrate to 12.1(22)EA8
|
|
Affected 12.2-Based Release |
Rebuild |
Maintenance |
|
12.2
|
12.2(34a)
|
12.2(37)
|
|
12.2B
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.BC
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.2BW
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2BY
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2BZ
|
Vulnerable; migrate to 12.3(7)XI8 or later
|
|
12.2CX
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.2CY
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.2CZ
|
Vulnerable; contact TAC
|
|
12.2DA
|
12.2(10)DA5
|
|
|
12.2(12)DA10
|
|
|
12.2DD
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2DX
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2EU
|
Vulnerable; migrate to 12.2(25)EWA5 or later
|
|
12.2EW
|
12.2(18)EW3
|
|
|
12.2(20)EW4
|
12.2(25)EW
|
|
12.2EWA
|
12.2(20)EWA4
|
12.2(25)EWA
|
|
12.2EX
|
|
12.2(25)EX
|
|
12.2EY
|
All 12.2EY releases are fixed
|
|
12.2EZ
|
All 12.2EZ releases are fixed
|
|
12.2FX
|
All 12.2FX releases are fixed
|
|
12.2FY
|
All 12.2FY releases are fixed
|
|
12.2FZ
|
All 12.2FZ releases are fixed
|
|
12.2IXA
|
All 12.2IXA releases are fixed
|
|
12.2IXB
|
All 12.2IXB releases are fixed
|
|
12.2IXC
|
All 12.2IXC releases are fixed
|
|
12.2JA
|
Vulnerable; migrate to 12.3(8)JA or later
|
|
12.2JK
|
Vulnerable; migrate to 12.4(4)T or later
|
|
12.2MB
|
Vulnerable; migrate to 12.2(25)SW1 or later
|
|
12.2MC
|
12.2(15)MC2h
|
|
12.2S
|
|
12.2(25)S
|
|
12.2SB
|
|
12.2(28)SB
|
|
12.2SBC
|
All 12.2SBC releases are fixed
|
|
12.2SE
|
|
12.2(25)SE
|
|
12.2SEA
|
All 12.2SEA releases are fixed
|
|
12.2SEB
|
All 12.2SEB releases are fixed
|
|
12.2SEC
|
All 12.2SEC releases are fixed
|
|
12.2SED
|
All 12.2SED releases are fixed
|
|
12.2SEE
|
All 12.2SEE releases are fixed
|
|
12.2SEF
|
All 12.2SEF releases are fixed
|
|
12.2SEG
|
All 12.2SEG releases are fixed
|
|
12.2SG
|
All 12.2SG releases are fixed
|
|
12.2SGA
|
All 12.2SGA releases are fixed
|
|
12.2SO
|
12.2(18)SO7
|
|
|
12.2SRA
|
All 12.2SRA releases are fixed
|
|
12.2SRB
|
All 12.2SRB releases are fixed
|
|
12.2SU
|
Vulnerable; migrate to 12.3(14)T or later
|
|
12.2SV
|
|
12.2(23)SV
|
|
12.2SW
|
12.2(25)SW1
|
|
|
12.2SX
|
Vulnerable; migrate to 12.2(17d)SXB11a or later
|
|
12.2SXA
|
Vulnerable; migrate to 12.2(17d)SXB11a or later
|
|
12.2SXB
|
12.2(17d)SXB11a
|
|
|
12.2SXD
|
12.2(18)SXD7a
|
|
|
12.2SXE
|
All 12.2SXE releases are fixed
|
|
12.2SXF
|
All 12.2SXF releases are fixed
|
|
12.2SY
|
Vulnerable; migrate to 12.2(17d)SXB11a or later
|
|
12.2SZ
|
Vulnerable; migrate to 12.2(25)S or later
|
|
12.2T
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2TPC
|
Vulnerable; contact TAC
|
|
12.2XA
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XB
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XC
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2XD
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XE
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XF
|
Vulnerable; migrate to 12.3(9a)BC or later
|
|
12.2XG
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XH
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XI
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XJ
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XK
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XL
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XM
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XN
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XQ
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XR
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XS
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XT
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XU
|
Vulnerable; migrate to 12.3(12) or later
|
|
12.2XV
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2XW
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YA
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YB
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YC
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YD
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YE
|
Vulnerable; migrate to 12.2(25)S or later
|
|
12.2YF
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YG
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YH
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YJ
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YK
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YL
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YM
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YN
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YO
|
Not vulnerable
|
|
12.2YP
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YQ
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2YR
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2YS
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YT
|
Vulnerable; migrate to 12.3(8) or later
|
|
12.2YU
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YV
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2YW
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2YX
|
Vulnerable; migrate to 12.3(14)T or later
|
|
12.2YY
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2YZ
|
Vulnerable; migrate to 12.2(25)S or later
|
|
12.2ZA
|
Vulnerable; migrate to 12.2(17d)SXBa or later
|
|
12.2ZB
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2ZC
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2ZD
|
Vulnerable; contact TAC
|
|
12.2ZE
|
Vulnerable; migrate to 12.3(8) or laer
|
|
12.2ZF
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2ZG
|
Vulnerable; for SOHO9x, migrate to 12.3(8)YG2 or later. For
c83x, migrate to 12.3(2)XA3 or later
|
|
12.2ZH
|
Vulnerable; contact TAC
|
|
12.2ZJ
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.2ZL
|
Vulnerable; contact TAC
|
|
12.2ZN
|
Vulnerable; migrate to 12.3(4)T13 or later
|
|
12.2ZP
|
Vulnerable; migrate to 12.3(8)XY or later
|
|
Affected 12.3-Based Release |
Rebuild |
Maintenance |
|
12.3
|
|
12.3(8)
|
|
12.3B
|
Vulnerable; migrate to 12.3(8)T7 or later
|
|
12.3BC
|
|
12.3(9a)BC
|
|
12.3BW
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.3JA
|
|
12.3(8)JA
|
|
12.3JEA
|
All 12.3JEA releases are fixed
|
|
12.3JEB
|
All 12.3JEA releases are fixed
|
|
12.3JK
|
12.3(2)JK2
|
12.3(8)JK
|
|
12.3JX
|
12.3(7)JX6
|
12.3(11)JX
|
|
12.3T
|
12.3(4)T13
|
12.3(8)T
|
|
12.3TPC
|
12.3(4)TPC11b
|
|
|
12.3XA
|
12.3(2)XA6
|
|
|
12.3XB
|
Vulnerable; migrate to 12.3(8)T or later
|
|
12.3XC
|
Vulnerable; contact TAC
|
|
12.3XD
|
Vulnerable; migrate to 12.3(8)T7 or later
|
|
12.3XE
|
Vulnerable; contact TAC
|
|
12.3XF
|
Vulnerable; migrate to 12.3(11)T or later
|
|
12.3XG
|
Vulnerable; contact TAC
|
|
12.3XH
|
Vulnerable; migrate to 12.3(11)T or later
|
|
12.3XI
|
12.3(7)XI8
|
|
|
12.3XJ
|
Vulnerable; migrate to 12.3(8)XW or later
|
|
12.3XK
|
Vulnerable; migrate to 12.3(14)T or later
|
|
12.3XQ
|
Vulnerable; migrate to 12.4(1) or later
|
|
12.3XR
|
All 12.3XR releases are fixed
|
|
12.3XS
|
All 12.3XS releases are fixed
|
|
12.3XU
|
All 12.3XU releases are fixed
|
|
12.3XW
|
All 12.3XW releases are fixed
|
|
12.3XX
|
All 12.3XX releases are fixed
|
|
12.3XY
|
All 12.3XR releases are fixed
|
|
12.3YA
|
All 12.3YA releases are fixed
|
|
12.3YD
|
All 12.3YD releases are fixed
|
|
12.3YF
|
All 12.3YF releases are fixed
|
|
12.3YG
|
All 12.3YG releases are fixed
|
|
12.3YH
|
All 12.3YH releases are fixed
|
|
12.3YI
|
All 12.3YI releases are fixed
|
|
12.3YJ
|
All 12.3YJ releases are fixed
|
|
12.3YK
|
All 12.3YK releases are fixed
|
|
12.3YM
|
All 12.3YM releases are fixed
|
|
12.3YQ
|
All 12.3YQ releases are fixed
|
|
12.3YS
|
All 12.3YS releases are fixed
|
|
12.3YT
|
All 12.3YT releases are fixed
|
|
12.3YU
|
All 12.3YU releases are fixed
|
|
12.3YX
|
All 12.3YX releases are fixed
|
|
12.3YZ
|
All 12.3YZ releases are fixed
|
|
Affected 12.4-Based Release |
Rebuild |
Maintenance |
|
All 12.4 releases are fixed
|
IP Options Selective Drop 機能により、IP オプションを含むパケットをドロップ、または IP オプションを処理しない(無視する)ことで、影響を軽減することが可能です。
最も効果的な回避策は、グローバル・コンフィグレーション・コマンド "ip options drop" で "drop" オプションを使用することです。このコマンドは、ルータ宛て及びルータを通過する全ての IP オプション付きパケットを処理する前にドロップします。これにより、自ルータと下流のルータを防御することが可能になります。
IP Options Selective Drop 機能は Cisco12000シリーズ については 12.0(23)S、Cisco10720シリーズについては 12.0(32)S、それ以外のハードウェアについては 12.3(4)T, 12.2(25)S 及び 12.2(27)SBC 以降の IOS でサポートされています。
ただし、このコマンドを使用することにより、IP オプションを含んだ正当なパケットもドロップされることに注意してください。
影響のあるプロトコルとしては、RSVP(Microsoft NetMeeting等), MPLS TE, MPLS OAM, DVMRP, IGMPv3, IGMPv2, 及び正当な PGM が挙げられます。
NOTE: グローバル・コマンド "ip options ignore" での "ignore" オプションは、IOS12.0(23)S 以降の稼動する Cisco 12000 シリーズでのみ有効ですが、この問題の回避策とはなりません。
"IP Options Selective Drop" についての追加情報については、以下をご参照ください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a00801d4a94.html
1. Echo (Ping) ICMP type 8
2. Timestamp ICMP type 13
3. Information Request ICMP type 15
4. Address Mask Request ICMP Type 17
5. Protocol Independent Multicast (PIM) IP protocol 103
6. Pragmatic General Multicast (PGM) IP protocol 113
7. URL Rendezvous Directory (URD) TCP port 465
Internet Control Message Protocol は Transmission Control Protocol/Internet Protocol (TCP/IP) プロトコル・スイートの必須要素で、エラー状態や診断情報を報告します。ICMP メッセージのフィルタは、ping や ICMP ping を使用する Windows の traceroute などのエラー状態や診断情報の報告に影響を与えます。
これらのパケットの送信元 IP アドレス は容易に偽装される可能性があるので、影響のあるトラフィックは機器の全ての IPv4 インターフェースブロックすべきです。
以下の ACL は攻撃トラフィックをブロックするように特別にデザインされており、デバイスの全ての IPv4 インターフェースに適用すべきで、また、トポロジー特有のフィルタも含む必要があります。
以下の IOS XR ACL は攻撃トラフィックをブロックするように特別にデザインされており、デバイスの全ての IPv4 インターフェースに適用すべきで、また、トポロジー特有のフィルタも含む必要があります。
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。 Infrastructure ACL は、特定の脆弱性に対する回避策であると同時に、長期に渡る最善のネットワークセキュリティーと考えることが出来ます。
以下の ACL は、infrastructure access-list の一部として設定されるべきであり、基幹の IP アドレス・レンジに含まれる IP アドレスを持つ全ての機器を防御します。
分散型のプラットフォームにおいて、Cisco12000シリーズ (GSR) では 12.0(21)S2、Cisco7500 シリーズでは 12.0(24)S、 Cisco10720シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL が選択肢となります。Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響する前に、そのトラフィックから機器を防御することができます。
Receive ACL は、それが設定された機器だけを防御するためにデザインされています。
Cisco12000 シリーズ では通過トラフィックは Receive ACL による影響を受けません。そのため、以下の ACL の例において宛先 IP アドレス "any" が用いられ、ACL は自ルーターの物理あるいは仮想 IP アドレスだけを参照します。Cisco 7500 シリーズや Cisco 10720 シリーズ においては、 IP オプション を含む通過トラフィックは Receive ACL に従って、許可または遮断されます。Receive ACL は、特定の脆弱性に対する回避策であると同時に、長期に渡る最善のネットワーク・セキュリティーと考えることが出来ます。ホワイトペーパーの "GSR: Receive Access Control Lists" には、機器宛の正当なパケットとそれ以外の遮断されるべきパケットを判断する手法が記載されています。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a0a5e.shtml
Control Plane Policing (CoPP) により、本脆弱性の影響を軽減することが可能です。次の例では本脆弱性を利用する可能性のあるあらゆる packet を遮断しますが、それ以外の IP トラフィックは許可されます。ルータにおける IP オプション付きパケットの処理方法のために、CoPP は自ルーター宛の攻撃パケットに適用されるだけでなく、そのルータを通過する他の宛先 IP アドレスの パケットにも適用されます。このことは Cisco12000シリーズ を除くあらゆるプラットフォームに当てはまりますが、Cisco12000 シリーズでは CoPP は自ルーター宛の攻撃パケットにだけ適用されます。
