Cisco Security Advisory: Crafted Packet Causes Reload on Cisco Routers
Revision 1.1
最終更新日 2005 年 1 月 28 日 18:00(GMT)
公開日 2005 年 1 月 26 日 16:00(GMT)
目次
要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコ セキュリティ手順
要約
Multi Protocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)がサポートされている Internetwork Operating System(IOS)が稼動しているシスコ製ルータには、MPLS が設定されていないインターフェイスへの Denial of Service(Dos; サービス妨害)攻撃に対する脆弱性が存在します。 MPLS がサポートされているシステムでは、システムが MPLS 用に設定されていない場合でも、脆弱性が存在します。
本脆弱性が存在するのは、12.1T、12.2、12.2T、12.3 および 12.3T をベースにする Cisco IOS リリース トレインのみです。 12.1 メインライン、12.1E、さらに 12.1 より前のすべてのリリースをベースにするリリースには、脆弱性は存在しません。
シスコでは、本脆弱性に対処するための無償のソフトウェアを提供しています。
また、本脆弱性の影響を緩和する回避策もあります。
本脆弱性は、CERT/CC VU#583638 で管理されています。
本アドバイザリは以下にて確認可能です。http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml
該当製品
脆弱性が存在する製品
影響を受けるのは、MPLS がサポートされており、脆弱性が存在するバージョンの IOS が稼動する次の製品のみです。
- 2600 および 2800 シリーズ ルータ
- 3600、3700 および 3800 シリーズ ルータ
- 4500 および 4700 シリーズ ルータ
- 5300、5350 および 5400 シリーズ アクセス サーバ
上記以外の製品は影響を受けません。
MPLS は、IP および IP Plus の機能セットではサポートされていません。 そのため、IP または IP Plus のフィーチャーセットが搭載されている IOS バージョンが稼動する製品には、脆弱性は存在しません。
攻撃対象となるのは、MPLS トラフィック エンジニアリング用に設定されていないシステムおよび MPLS が設定されていないインターフェイスだけです。 MPLS が設定されているインターフェイスは、show mpls interfaces コマンドで判別できます。
MPLS がサポートされていないために影響を受けないシステムでは、次のような出力が表示されます。
Router#
show mpls interfaces
^
% Invalid input detected at '^' marker.
Router#
ルータで MPLS を設定する方法はいろいろあります。 次の出力では、ルータのインターフェイス Ethernet0/0 上の IP に対して MPLS が設定されていることが示されています。
Router#
show mpls interfaces
Interface IP Tunnel Operational
Ethernet0/0 Yes (tdp) No Yes
Router#
あるインターフェイスで IP に対する MPLS を設定すると、ルータはそのインターフェイスからの攻撃に対しては耐性を持ちますが、他のインターフェイスからの攻撃には脆弱性が存在します。 ルータのすべてのインターフェイスの IP に対して MPLS を設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。 IP に対する MPLS が設定されているインターフェイスの場合は、その設定に mpls ip コマンドまたは tag-switching ip コマンドが含まれています。
MPLS Traffic Engineering(TE; トラフィック エンジニアリング)を使用すれば、本脆弱性に対してより強力な防御が提供されます。 MPLS TE をグローバルに設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。 MPLS TE を設定しているルータの場合は、show running-config の出力に mpls traffic-eng tunnels コマンドが含まれています。
脆弱性が存在しないことが確認されている製品
- Cisco IOS が稼動していない製品には脆弱性が存在しません。
- Cisco IOS バージョン 12.0 以前および 12.1 メインラインが稼動している製品には、脆弱性は存在しません。
- 該当製品のセクションで言及されていない製品(Cisco 7200、7500、12000 シリーズおよび Catalyst システムなど、ただし、これらの製品だけではありません)には、脆弱性は存在しません。
その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。
詳細
Multi Protocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は、(『Open System Interconnection(OSI)参照モデル』に定義されている)レイヤ 2 の情報をレイヤ 3 に統合する、ベンダーに依存しないプロトコルです。MPLS の詳細は、http://www.cisco.com/warp/public/732/Tech/mpls を参照してください。
MPLS が設定されていないインターフェイスで受信した MPLS パケットの処理に脆弱性が存在します。 MPLS トラフィック エンジニアリング用に設定されたルータは、どのインターフェイスからの攻撃にも耐性があります。
MPLS が設定されていないインターフェイスで巧妙に細工されたパケットを受信するとシスコ製機器が再起動されるので、完全に機能が回復するまでに数分かかる場合があります。 本脆弱性を繰り返し悪用されると、結果的には継続的な Dos 攻撃となる可能性があります。 この問題は、Bug ID CSCeb56909(登録ユーザのみ)および CSCec86420(登録ユーザのみ)で文書化されています。
そのような巧妙に細工されたパケットを送信できるのは、ローカル ネットワーク セグメントからのみです。
影響
本脆弱性が悪用された場合、機器が再起動する結果となる場合があります。 繰り返し悪用された場合、結果的に Dos 攻撃が継続することになる可能性があります。
ソフトウェアバージョンおよび修正
| メジャー リリース |
修正済みリリースの提供状況 |
||
|---|---|---|---|
| 影響を受ける 12.1 ベースのリリース |
リビルド |
メンテナンス |
|
| 12.1DB |
12.3(4)T 以降に移行します |
||
| 12.1DC |
12.3(4)T 以降に移行します |
||
| 12.1T |
12.2 以降に移行します |
||
| 12.1XG |
12.3 以降に移行します |
||
| 12.1XI |
12.2 以降に移行します |
||
| 12.1XJ |
12.3 以降に移行します |
||
| 12.1XL |
12.3 以降に移行します |
||
| 12.1XM |
12.3 以降に移行します |
||
| 12.1XP |
12.3 以降に移行します |
||
| 12.1XQ |
12.3 以降に移行します |
||
| 12.1XR |
12.3 以降に移行します |
||
| 12.1XT |
12.3 以降に移行します |
||
| 12.1XU |
12.3 以降に移行します |
||
| 12.1XV |
12.3 以降に移行します |
||
| 12.1YA |
12.3 以降に移行します |
||
| 12.1YB |
12.3 以降に移行します |
||
| 12.1YC |
12.3 以降に移行します |
||
| 12.1YD |
12.3 以降に移行します |
||
| 12.1YE |
12.3 以降に移行します |
||
| 12.1YF |
12.3 以降に移行します |
||
| 12.1YH |
12.3 以降に移行します |
||
| 12.1YI |
12.3 以降に移行します |
||
| 影響を受ける 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
| 12.2 |
12.2(10g) |
||
| 12.2(13e) |
|||
| 12.2(16f) |
|||
| 12.2(17d) |
|||
| 12.2(19b) |
|||
| 12.2(21a) |
|||
| 12.2(23) |
|||
| 12.2B |
12.2(2)B 〜 12.2(4)B7 は 12.3 以降に移行します |
||
| 12.2(4)B8 以降は 12.3(4)T 以降に移行します |
|||
| 12.2BC |
12.2(15)BC2 |
||
| 12.2BW |
12.3 以降に移行します |
||
| 12.2BX |
12.3(7)XI1 以降に移行します |
||
| 12.2BY |
12.3(4)T 以降に移行します |
||
| 12.2BZ |
12.3(7)XI1 以降に移行します |
||
| 12.2CX |
12.2(15)BC2 に移行します |
||
| 12.2CY |
12.2(15)BC2 に移行します |
||
| 12.2CZ |
12.2(15)CZ |
||
| 12.2DA |
12.2(12)DA6 |
||
| 12.2DD |
12.3(4)T 以降に移行します |
||
| 12.2DX |
12.3(4)T 以降に移行します |
||
| 12.2EW |
12.2(18)EW |
||
| 12.2EWA |
12.2(20)EWA |
||
| 12.2JA |
12.2(15)JA |
||
| 12.2JK |
12.2(15)JK |
||
| 12.2MB |
12.2(19)SW に移行します |
||
| 12.2MC |
12.3(11)T に移行します |
||
| 12.2MX |
12.3(8)T 以降に移行します |
||
| 12.2SU |
12.2(14)SU |
||
| 12.2SW |
12.2(19)SW |
||
| 12.2SY |
12.2(17d)SXB 以降に移行します |
||
| 12.2SZ |
12.2(20)S4 に移行します |
||
| 12.2T |
12.2(13)T14 |
||
| 12.2(15)T7 |
|||
| 12.2XA |
12.3 以降に移行します |
||
| 12.2XB |
12.2(2)XB18 |
||
| 12.2XC |
12.3T 以降に移行します |
||
| 12.2XD |
12.3 以降に移行します |
||
| 12.2XE |
12.3 以降に移行します |
||
| 12.2XF |
12.2(15)BC2 に移行します |
||
| 12.2XG |
12.3 以降に移行します |
||
| 12.2XH |
12.3 以降に移行します |
||
| 12.2XI |
12.3 以降に移行します |
||
| 12.2XJ |
12.3 以降に移行します |
||
| 12.2XK |
12.3 以降に移行します |
||
| 12.2XL |
12.3 以降に移行します |
||
| 12.2XM |
12.3 以降に移行します |
||
| 12.2XN |
12.3 以降に移行します |
||
| 12.2XQ |
12.3 以降に移行します |
||
| 12.2XR |
12.2(15)XR |
||
| 12.2XS |
12.3 以降に移行します |
||
| 12.2XT |
12.3 以降に移行します |
||
| 12.2XU |
12.3 以降に移行します |
||
| 12.2XV |
計画なし。 |
||
| 12.2XW |
12.3 以降に移行します |
||
| 12.2XZ |
12.3 以降に移行します |
||
| 12.2YA |
12.2(4)YA8 |
||
| 12.2YB |
12.3 以降に移行します |
||
| 12.2YC |
12.3 以降に移行します |
||
| 12.2YD |
12.3(8)T 以降に移行します |
||
| 12.2YE |
12.2(18)S 以降に移行します |
||
| 12.2YF |
12.3 以降に移行します |
||
| 12.2YG |
12.3 以降に移行します |
||
| 12.2YH |
12.3 以降に移行します |
||
| 12.2YJ |
12.3 以降に移行します |
||
| 12.2YL |
12.3T 以降に移行します |
||
| 12.2YM |
12.3T 以降に移行します |
||
| 12.2YN |
12.3T 以降に移行します |
||
| 12.2YO |
12.2(17d)SXB 以降に移行します |
||
| 12.2YQ |
12.3(4)T 以降に移行します |
||
| 12.2YR |
12.3(4)T 以降に移行します |
||
| 12.2YS |
12.3T 以降に移行します |
||
| 12.2YU |
12.3(2)T 以降に移行します |
||
| 12.2YV |
12.3(4)T 以降に移行します |
||
| 12.2YW |
12.3(2)T 以降に移行します |
||
| 12.2YX |
12.2(14)SU に移行します |
||
| 12.2YZ |
12.2(20)S4 に移行します |
||
| 12.2ZB |
12.3T 以降に移行します |
||
| 12.2ZC |
12.3T 以降に移行します |
||
| 12.2ZD |
12.3 以降に移行します |
||
| 12.2ZE |
12.3 以降に移行します |
||
| 12.2ZF |
12.3(4)T 以降に移行します |
||
| 12.2ZG |
12.3(4)T 以降に移行します |
||
| 12.2ZH |
12.3(4)T 以降に移行します |
||
| 12.2ZI |
12.2(18)S 以降に移行します |
||
| 12.2ZJ |
12.3T 以降に移行します |
||
| 12.2ZL |
12.3(7)T 以降に移行します |
||
| 12.2ZN |
12.3T 以降に移行します |
||
| 12.2ZO |
12.3 以降に移行します |
||
| 12.2ZP |
計画なし。 |
||
| 影響を受ける 12.3 ベースのリリース |
リビルド |
メンテナンス |
|
| 12.3 |
12.3(3f) |
||
| 12.3(5) |
|||
| 12.3B |
12.3(5a)B4 |
||
| 12.3BC |
12.3(9a)BC |
||
| 12.3BW |
12.3(5a)B 以降に移行します |
||
| 12.3T |
12.3(2)T5 |
||
| 12.3(4)T7 |
|||
| 12.3(7)T |
|||
| 12.3XA |
12.3(7)T 以降に移行します |
||
| 12.3XB |
12.3(8)T 以降に移行します |
||
| 12.3XC |
12.3(2)XC3 に移行します(提供日は未定) |
||
| 12.3XD |
12.3(4)XD |
||
| 12.3XE |
12.3(2)XE1 |
||
| 12.3XF |
12.3(2)XF |
||
| 12.3XG |
12.3(4)XG1 |
||
| 12.3XH |
12.3(4)XH |
||
| 12.3XI |
12.3(7)XI |
||
| 12.3XJ |
12.3(7)XJ |
||
| 12.3XK |
12.3(4)XK1 |
||
| 12.3XL |
12.3(7)XL |
||
| 12.3XM |
12.3(7)XM |
||
| 12.3XN |
12.3(4)XN |
||
| 12.3XQ |
12.3(4)XQ |
||
| 12.3XR |
12.3(7)XR |
||
| 12.3XS |
12.3(7)XS |
||
| 12.3XT |
12.3(2)XT |
||
| 12.3XU |
12.3(8)XU |
||
| 12.3XW |
12.3(8)XW |
||
| 12.3XX |
12.3(8)XX |
||
| 12.3XY |
12.3(8)XY |
||
| 12.3YA |
12.3(8)YA |
||
| 12.3YD |
12.3(8)YD |
||
| 12.3YE |
12.3(4)YE |
||
| 12.3YF |
12.3(11)YF |
||
| 12.3YG |
12.3(8)YG |
||
| 12.3YH |
12.3(8)YH |
||
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/en/US/products/products_security_advisories_listing.html およびそれ以降のアドバイザリも参照して、状況と完全なアップグレード ソリューションを判断してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、Cisco Technical Assistance Center(TAC)にお問い合せください。
修正ソフトウェアの入手
サービス契約をご利用のお客様
サービス契約をご利用のお客様は、通常のアップデートを入手するルートでアップグレードされたソフトウェアを入手できます。 通常は、http://www.cisco.com にあるシスコ Web サイトの Software Center からアップグレードを入手してください。
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、ソフトウェア アップグレードに関する支援を受けてください。この支援は通常無料です。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール:tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
ソフトウェアのアップグレードについては、「psirt@cisco.com」または「security-alert@cisco.com」には連絡しないでください。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいた機能セットに対してだけです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様は http://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。
回避策
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。 影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、サービス プロバイダーやサポート組織にご相談ください。
警告:この回避策を使用すると、ネットワークの運用に影響がある場合や問題が発生する場合があります。 そのため、影響がある場合には、ソフトウェアをアップグレードすることを強くお勧めします。 回避策を長期的な解決策として使用することはお勧めしません。
MPLS Traffic Engineering(MPLS TE; MPLS トラフィック エンジニアリング)をグローバルに設定することは、本脆弱性を緩和するための回避策として使用できます。 MPLS を動作させるには Cisco Express Forwarding(CEF; Cisco エクスプレス転送)が必要なので、MPLS TE を設定するには、まず CEF を設定する必要があります。
CEF と MPLS TE は、次のコマンドで設定できます。
Router(config)#
ip cef
Router(config)#
mpls traffic-eng tunnels
MPLS TE を設定すると、どのインターフェイスからの攻撃に対してもルータが耐性を持つようになります。
不正利用事例と公表
Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用は確認しておりません。
この通知のステータス: FINAL
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落による統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリは、以下のシスコのワールドワイド ウェブサイトト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml
ワールドワイド のウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト 版が、シスコ PSIRT PGP キーによるクリア署名付きで投稿されています。
- cust-security-announce@cisco.com
- first-teams@first.org(CERT/CC を含む)
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.netsys.com
- comp.dcom.sys.cisco@newsgate.cisco.com
- シスコ内部のさまざまなメーリング リスト
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。
更新履歴
| Revision 1.1 |
2005-January-28 |
要約セクションの記述の明確化。 ソフトウェアのバージョンおよび修正の表に、バージョン 12.2(15)T7 を追加。 ソフトウェアのバージョンおよび修正の表から、バージョン 12.2S、12.2SX、12.2SXA、12.2SXB および 12.2SXD を削除。 |
| Revision 1.0 |
2005-January-26 |
初版 |
シスコ セキュリティ手順
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコのワールドワイド ウェブサイトの
http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html
にアクセスしてください。このページには、シスコのセキュリティ通知に関して、メディアが問い合せる際の指示が掲載されています。
すべての シスコ セキュリティアドバイザリは、http://www.cisco.com/go/psirt で確認することができます。
フィードバック