Cisco Security Advisory: Multiple Crafted IPv6 Packets Cause Reload

ダウンロードオプション

PDF (277.8 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (53.2 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (79.1 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2009 年 5 月 17 日

要約

機器が IPv6 トラフィックを処理するように設定されている場合、Cisco Internetwork Operating System（IOS）ソフトウェアには、不正に改造された IPv6 パケットによる Denial of Service（Dos; サービス妨害）攻撃に対する脆弱性が存在します。本脆弱性を悪用して再起動を誘発するには、不正に改造された複数のパケットを機器に送信する必要があります。

シスコでは、本脆弱性に対処するための無償のソフトウェアを提供しています。

また、本脆弱性の影響を緩和する回避策もあります。

この問題は、CERT/CC VU#472582 にて管理されています。

本アドバイザリは以下にて確認可能です。http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

該当製品

脆弱性が存在する製品

影響を受けるのは、IOS が稼動しており、かつ IPv6 用に設定されているシスコ機器のみです。 show ipv6 interface コマンドを使用すれば、ルータで IPv6 が設定されているインターフェイスがすべて表示されます。

システムで IPv6 が設定されていないかサポートされていない場合は、空の出力またはエラーメッセージが表示されます。この場合、システムに脆弱性は存在しません。

IPv6 用に設定されているシステムの show ipv6 interface コマンドの出力例を次に示します。

    
    
    
    
    
     
     
     
     
     
  Router#
     
     
     
     
     show ipv6 interface
  Serial1/0 is up, line protocol is up
    IPv6 is enabled, link-local address is FE80::A8BB:CCFF:FE00:D200
    Global unicast address(es):
      2001:1:33::3, subnet is 2001:1:33::/64 [TENTATIVE]
    Joined group address(es):
      FF02::1
      FF02::1:FF00:3
      FF02::1:FF00:D200
    MTU is 1500 bytes
    ICMP error messages limited to one every 100 milliseconds
    ICMP redirects are enabled
    ND DAD is enabled, number of DAD attempts: 1
    ND reachable time is 30000 milliseconds
  Router#

物理インターフェイスまたは論理インターフェイスで IPv6 が設定されているルータでは、ipv6 unicast-routing がグローバルに設定されていなくても、この問題に対する脆弱性が存在します。 show ipv6 interface コマンドを使用すれば、いずれかのインターフェイスで IPv6 が設定されているかどうかを判別できます。

脆弱性が存在しないことが確認されている製品

Cisco IOS が稼動していない製品は、影響を受けません。
いずれかのバージョンの Cisco IOS が稼動していても、IPv6 に設定されたインターフェイスがない場合には、脆弱性は存在しません。

その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。

詳細

IPv6 とは「Internet Protocol Version 6」のことで、これは、現在のインターネットプロトコルである IP Version 4（IPv4）を置き換える目的で Internet Engineering Task Force（IETF）によって設計されたプロトコルです。

IPv6 パケットの処理に、悪用されればシステムの再起動を発生させる可能性のある脆弱性が存在します。論理インターフェイス（つまり、6to4 トンネルなどのトンネル）と物理インターフェイスのどちらで受信した不正改造パケットでも、本脆弱性が利用される可能性があります。

本脆弱性を悪用するには、不正に改造された IPv6 パケットを複数送信する必要があります。そのような不正改造パケットは、リモートから送信可能です。

この問題は、Cisco Bug ID CSCed40933（登録ユーザのみ）で文書化されています。

影響

本脆弱性が悪用された場合、機器が再起動する結果となる場合があります。繰り返し悪用された場合、結果的に Dos 攻撃が継続することになる可能性があります。

ソフトウェアバージョンおよび修正

メジャーリリース	修正済みリリースの提供状況
影響を受ける 12.0 ベースのリリース	リビルド	暫定	メンテナンス
12.0S	12.0(23)S 以前には脆弱性は存在しません。
	12.0(24)S6
	12.0(25)S3
	12.0(26)S2
	12.0(27)S1
			12.0(28)S
12.0SX	12.0(25)SX8
12.0SZ	12.0(27)SZ
影響を受ける 12.2 ベースのリリース	リビルド	暫定	メンテナンス
12.2B	12.2(2)B 〜 12.2(4)B7 は 12.2(13)T14 以降に移行します
12.2B	12.2(4)B8 以降は 12.3(7)T 以降に移行します
12.2BC	12.3(9a)BC に移行します
12.2BX	12.3(7)XI1 に移行します
12.2BZ	12.3(7)XI1 に移行します
12.2CX	計画なし。
12.2CZ	計画なし。
12.2EW	12.2(18)EW1
12.2EWA			12.2(20)EWA
12.2JK	12.2(15)JK2
12.2MC	12.3(11)T に移行します
12.2S	12.2(14)S9
	12.2(18)S5
	12.2(20)S3
	12.2(22)S1
			12.2(25)S
12.2SE	12.2(25)SE
12.2SU	12.2(14)SU1
12.2SV	12.2(23)SV
12.2SW	12.2(23)SW
12.2SX	12.2(17d)SXB2 以降に移行します
12.2SXA	12.2(17d)SXB1 以降に移行します
12.2SXB	12.2(17d)SXB1
12.2SXD			12.2(18)SXD
12.2SY	12.2(17d)SXB2 以降に移行します
12.2SZ	12.2(20)S4 に移行します
12.2T	12.2(13)T14
12.2T	12.2(15)T12
12.2YT	12.2(15)T13 以降に移行します
12.2YU	12.3(4)T6 以降に移行します
12.2YV	12.3(4)T6 以降に移行します
12.2YZ	12.2(20)S4 以降に移行します
12.2ZC	12.3T 以降に移行します
12.2ZD	12.3 以降に移行します
12.2ZE	12.3 以降に移行します
12.2ZF	12.3(4)T6 以降に移行します
12.2ZG	12.3(4)T6 以降に移行します
12.2ZH	12.3(4)T6 以降に移行します
12.2ZI	12.2(18)S 以降に移行します
12.2ZJ	12.3 以降に移行します
12.2ZL	12.3(7)T 以降に移行します
12.2ZN	12.3(2)T6 以降に移行します
12.2ZO	12.2(15)T12 以降に移行します
12.2ZP	12.3(8)XY 以降に移行します
影響を受ける 12.3 ベースのリリース	リビルド	暫定	メンテナンス
12.3	12.3(3f)
	12.3(5c)
	12.3(6a)
			12.3(9)
12.3BC			12.3(9a)BC
12.3B	12.3(5a)B2
12.3BW	12.3(5a)B2 以降に移行します
12.3JA			12.3(2)JA
12.3T	12.3(2)T6
	12.3(4)T6
			12.3(7)T
12.3XA	12.3(7)T 以降に移行します
12.3XB	12.3(8)T 以降に移行します
12.3XC	12.3(2)XC3 以降に移行します
12.3XD	12.3(4)XD4
12.3XE	12.3(2)XE1
12.3XF	12.3(11)T 以降に移行します
12.3XG	12.3(4)XG2
12.3XH	12.3(11)T 以降に移行します
12.3XI			12.3(7)XI
12.3XJ	12.3(7)XJ
12.3XK	12.3(4)XK1
12.3XL			12.3(7)XL
12.3XM			12.3(7)XM
12.3XN	12.3(14)T 以降に移行します
12.3XQ	12.3(4)XQ
12.3XR			12.3(7)XR
12.3XS	12.3(7)XS
12.3XT	12.3(2)XT
12.3XU	12.3(8)XU
12.3XX			12.3(8)XX
12.3XW			12.3(8)XW
12.3XY			12.3(8)XY
12.3XZ			12.3(2)XZ
12.3YA			12.3(8)YA
12.3YD			12.3(8)YD
12.3YE			12.3(4)YE
12.3YF			12.3(11)YF
12.3YG			12.3(8)YG
12.3YH			12.3(8)YH

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/en/US/products/products_security_advisories_listing.html およびそれ以降のアドバイザリも参照して、状況と完全なアップグレードソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、Cisco Technical Assistance Center（TAC）にお問い合せください。

修正ソフトウェアの入手

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート入手経路でアップグレードされたソフトウェアを入手できます。通常は、http://www.cisco.com にあるシスコ Web サイトの Software Center からアップグレードを入手してください。

サードパーティのサポート会社をご利用のお客様

シスコパートナー、正規販売代理店、サービスプロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、ソフトウェアアップグレードに関する支援を受けてください。この支援は通常無料です。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center（TAC）に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

+1 800 553 2447（北米内からのフリーダイヤル）
+1 408 526 7209（北米以外からの有料通話）
電子メール：tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

ソフトウェアのアップグレードについては、「psirt@cisco.com」または「security-alert@cisco.com」には連絡しないでください。

さまざまな言語向けの各地の電話番号、説明、電子メールアドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみです。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様は http://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェアライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象となるネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

ネットワークを通過するトラフィックをブロックするのは困難な場合が多いですが、使用中のインフラストラクチャでの装置を宛先にすることを許可してはいけないトラフィックを識別して、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャの Access Control List（ACL; アクセスコントロールリスト）は、ネットワークセキュリティのベストプラクティスとみなされており、本脆弱性特有の回避策としてだけではなく、ネットワークセキュリティを向上させるための長期的な付加手段として検討する必要があります。 http://www.cisco.com/warp/public/707/iacl.html で公開されている「コアの保護：インフラストラクチャ保護 ACL」という White Paper には、インフラストラクチャ保護 ACL のガイドラインと推奨される配置手法が説明されています。ただし、インフラストラクチャにアクセスする正当な理由がある装置（BGP ピア、DNS サーバなど）は例外です。その他のすべてのトラフィックは、いずれの機器上でも終端せずにネットワークを通過できる必要があります。

不正利用事例と公表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認しておりません。

この通知のステータス： FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズは、本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落による統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリは以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

cust-security-announce@cisco.com
first-teams@first.org（CERT/CC を含む）
bugtraq@securityfocus.com
vulnwatch@vulnwatch.org
cisco@spot.colorado.edu
cisco-nsp@puck.nether.net
full-disclosure@lists.netsys.com
comp.dcom.sys.cisco@newsgate.cisco.com
シスコ内部のさまざまなメーリングリスト

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記URLにて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.0

2005-January-26

初版

シスコセキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからのセキュリティ情報を入手するための登録について詳しく知るには、シスコワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

にアクセスしてください。このページには、シスコのセキュリティ通知に関して、メディアが問い合せる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは、http://www.cisco.com/go/psirt で確認することができます。