Cisco Security Advisory: Crafted TCP Packet Can Cause Denial of Service
Revision 1.0a
最終更新日 2007年1月26日 7:00 UTC(GMT)
公開日 2007年1月24日 16:00 UTC (GMT)
Please provide your feedback on this document.
目次
要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
回避策
修正ソフトウェアの入手
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順
要約
特定バージョンの Cisco IOS ソフトウェアにおいてTransmission Control Protocol (TCP) 受信機器は、遠隔から悪用できるメモリリークが発生する脆弱性によってサービス妨害を引き起こされる可能性があります。
シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用のソフトウェアを無償で提供しています。
本脆弱性は Cisco IOS 機器を宛先とするトラフィックにのみ関係します。機器を通過するトラフィックは本脆弱性に該当しません。
シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。
この問題は、シスコ Bug ID CSCek37177(登録) ユーザーのみで文書化されています。
本脆弱性の影響を緩和する回避策 もあります。
本アドバイザリーは以下にて確認できます。
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml
該当製品
脆弱性が存在する製品
本脆弱性はシスコ IOS ソフトウェアが稼動するすべての機器に影響します。ただし、IPv4 を処理し TCP パケットを受信するように設定された機器のみが影響を受け、IPv6 のみが稼動する機器は影響を受けません。
本脆弱性は 9.x、10.x、11.x そして 12.x を含む未修正のシスコ IOS すべてに存在します。
シスコ製品で稼動中のソフトウェアを確認するには、機器にログインし show version コマンドを実行し、システムバナーを画面に表示します。
シスコ IOS ソフトウェアは "Internetwork Operating System Software" もしくは単に "IOS" と表示します。 そのすぐ後ろにイメージ名が括弧の間に 表示され(場合により改行されています)、続いて "Version" と IOS リリース名が表示されます。
IOS 以外の)他のシスコ製品は "show version" コマンドがない場合や、異なる表示をする場合があります。
以下の例は シスコ 7200ルーターで IOS リリース 12.2(14)S16、イメージ名 C7200-IS-M が稼動していることを示しています:
Cisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-IS-M), Version 12.2(14)S16, RELEASE SOFTWARE (fc1)
リリーストレインのラベルは "12.2" となっています。
次の例は シスコ 7200ルーターで IOS リリース 12.3(7)T、イメージ名 C7200-IK9S-M が稼動していることを示しています:
Cisco IOS Software, 7200 Software (C7200-IK9S-M), Version 12.3(7)T12, RELEASE SOFTWARE (fc1)
シスコ IOS のバナーに関するさらなる情報は以下の URL を参照してください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_white_paper09186a008018305e.shtml#3脆弱性が存在しない製品
IOS が稼動しないシスコ製品は影響を受けません。
Cisco IOS XR は本アドバイザリーの影響を受けません。
これ以外のシスコ製品において本アドバイザリーの影響を受けるものは現在確認されていません。
詳細
TCP はコネクション型の信頼性のあるデータ配送を提供するために設計されたトランスポート層のプロトコルです。それを実現するために TCP では状態を示すフラグとパケットを再構築する際にそれらを特定するためのシーケンス番号を使用します。TCP は次に到着するを期待するパケットのシーケンス番号を示すためのアクノレッジ番号も提供しています。TCP プロトコルの詳細については以下をご参照ください。
http://www.ietf.org/rfc/rfc0793.txt
TCP パケットを受信するように設定されたシスコ IOS 機器は影響を受けます。ただし、機器を通過するトラフィックは本アドバイザリに該当しません。
シスコ IOS が動作する機器の IPv4 アドレスが割り当てられた物理インターフェースまたは仮想インターフェースに向けられた、巧妙に細工された特定のパケットによって、機器に少量のメモリリークが引き起こされる可能性があります。時間が経過するとともにそのようなメモリリークによってメモリが枯渇し、潜在的にサービスの機能が損なわれることがあります。
本件は TCP の問題ですが、メモリリークを発生させるのに TCP の 3-way ハンドシェイクの完了を必要としません。したがって、送信元アドレスが捏造された TCP パケットであってもメモリリークを引き起こすことがあります。
機器のプロセッサーメモリ領域でメモリリークによる支障が発生しているか特定するためのさらな情報に関しましては、以下のドキュメントをご参照ください。
http://www.cisco.com/warp/public/63/mallocfail.shtml#tshoot2
脆弱性スコア詳細
シスコは Common Vulnerability Scoring System(CVSS) に基づいた脆弱性のスコアリングを提供しています。
シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。
Cisco PSIRT は重み付けパラメータ (Impact Bias) を全て Normal に設定しています。お客様はこれらの重み付けパラメータを利用し特定の脆弱性の影響を確認することが望まれます。
CVSS は脆弱性の深刻度を表現する標準のスコアリングの方法で、対応の緊急性や優先度を決定するのに役立ちます。
シスコは以下の URL で CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html
またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。 http://intellishield.cisco.com/security/alertmanager/cvss
| ( ユーザーのみ) Calculate the environmental score of |
||||||
|---|---|---|---|---|---|---|
| CVSS Base Score - 3.3 |
||||||
| Access Vector |
Access Complexity |
Authentication |
Confidentiality Impact |
Integrity Impact |
Availability Impact |
Impact Bias |
| Remote |
Low |
Not Required |
None |
None |
Complete |
Normal |
| CVSS Temporal Score - 2.7 |
||||||
| Exploitability |
Remediation Level |
Report Confidence |
||||
| Functional |
Official Fix |
Confirmed |
||||
影響
脆弱性の利用に成功した場合、少量のメモリーリークが発生する可能性があり、その結果としてサービスレベルの低下が発生することがあります。
メモリーリークは時間が経過すれば解決するわけではなく、復帰には機器の再起動が必要になります。
本脆弱性はシスコ IOS が稼動する機器宛てのトラフィックのみ関係します。機器を通過するトラフィックを契機としてこの問題が発生することはありません。
ソフトウェアバージョンおよび修正
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。
以下の シスコ IOS ソフトウェアの表の各行は、対象となるリリーストレイン、プラットフォームおよび製品群を示します。あるリリーストレインが脆弱である場合、修正が組み込まれている最も早いリリース(最初に修正されたリリース)とそれが利用可能となる予定日が "Rebuild" and "Maintenance" の列に示されます。リリーストレインで示されたリリースより前のものを使用している機器は脆弱であることが知られています。使用するリリースは少なくとも示されたリリース以降へアップグレードすることが推奨されます。
"Rebuild" および "Maintenance" の用語に関する情報は以下をご参照ください。http://www.cisco.com/warp/public/620/1.html
注意:2007年1月24日に3つのIOS関連のSecurity AdvisoryとField Noticeが発行されます。個々のアドバイサリーはそのアドバイサリー内の問題を解決するリリースについてのみ記載しています。全ての修正が含まれたソフトウェア一覧はhttp://www.cisco.com/warp/public/707/cisco-sa-20070124-bundle.shtml にて確認できます。ここでは3つ全ての脆弱性に対応するソフトウェアリリースを選択することができます。1月24日に発行されるアドバイサリー及びField Notice は以下の通りです。
- http://www.cisco.com/warp/public/707/cisco-sa-20070124-IOS-IPv6.shtml
- http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml
- http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-ip-option.shtml
- http://www.cisco.com/warp/public/770/fn62613.shtml
サマータイム (DTS) の変更を含むソフトウェア・リビルドは 2007年3月に提供されます。これについてのリクエストは Technical Assistance Center(TAC)まで直接お問い合わせください。その際にこのアドバイサリーをリファレンスとしてご利用ください。
| Major Release |
Availability of Repaired Releases |
|
|---|---|---|
| Affected 12.0-Based Release |
Rebuild |
Maintenance |
| 12.0 |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0DA |
Vulnerable; migrate to 12.2(10)DA5 or later |
|
| 12.0DB |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.0DC |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.0S |
12.0(31)S6 |
|
| 12.0(32)S4 |
||
| 12.0SC |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.0SL |
Vulnerable; migrate to 12.0(31)S6 or later |
|
| 12.0SP |
Vulnerable; migrate to 12.0(31)S6 or later |
|
| 12.0ST |
Vulnerable; migrate to 12.0(31)S6 or later |
|
| 12.0SX |
12.0(25)SX11 |
|
| 12.0SY |
12.0(32)SY |
|
| 12.0SZ |
Vulnerable; migrate to 12.0(31)S6 or later |
|
| 12.0T |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0W |
Not vulnerable |
|
| 12.0WC |
12.0(5)WC15 |
|
| 12.0WT |
Not vulnerable |
|
| 12.0XA |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XB |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XC |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XD |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XE |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.0XF |
Not vulnerable |
|
| 12.0XG |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XH |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XI |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XJ |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XK |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XL |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XM |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XN |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XQ |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XR |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XS |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.0XV |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.0XW |
Not vulnerable |
|
| Affected 12.1-Based Release |
Rebuild |
Maintenance |
| 12.1 |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1 AA |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1 AX |
Vulnerable; migrate to 12.2(25)EY4 or later |
|
| 12.1 AY |
Vulnerable; migrate to 12.1(22)EA8 or later |
|
| 12.1 AZ |
Vulnerable; migrate to 12.1(22)EA8 or later |
|
| 12.1 CX |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1 DA |
Vulnerable; migrate to 12.2(10)DA5 or later |
|
| 12.1 DB |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.1 DC |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.1E |
12.1(26)E7 |
|
| 12.1(27b)E1 |
||
| 12.1EA |
12.1(22)EA8 |
|
| 12.1EB |
Vulnerable; contact TAC |
|
| 12.1EC |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.1EO |
12.1(19)EO6; available on 31-Jan-07 |
|
| 12.1(20)EO3 |
||
| 12.1EU |
Vulnerable; migrate to 12.2(25)EWA6 or later |
|
| 12.1EV |
Vulnerable; migrate to 12.2(27)SV4 or later |
|
| 12.1EW |
Vulnerable; migrate to 12.2(25)EWA6 or later |
|
| 12.1EX |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.1EY |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.1EZ |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.1T |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XA |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XB |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XC |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XD |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XE |
Vulnerable; migrate to 12.1(26)E7 or later |
|
| 12.1XF |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XG |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XH |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XI |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XJ |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XL |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XM |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XP |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XQ |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XR |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XS |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XT |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XU |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XV |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1XW |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XX |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XY |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1XZ |
Vulnerable; migrate to 12.2(37) or later |
|
| 12.1YA |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YB |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YC |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YD |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YE |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YF |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YH |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YI |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.1YJ |
Vulnerable; migrate to 12.1(22)EA8 or later |
|
| Affected 12.2-Based Release |
Rebuild |
Maintenance |
| 12.2 |
12.2(37) |
|
| 12.2B |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2BC |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.2BW |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2BY |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2BZ |
Vulnerable; migrate to 12.3(7)XI8 or later |
|
| 12.2CX |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.2CY |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.2CZ |
Vulnerable; contact TAC |
|
| 12.2DA |
12.2(10)DA5 |
|
| 12.2(12)DA10 |
||
| 12.2DD |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2DX |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2EU |
Vulnerable; migrate to 12.2(25)EWA6 or later |
|
| 12.2EW |
Vulnerable; migrate to 12.2(25)EWA6 or later |
|
| 12.2EWA |
12.2(25)EWA6 |
|
| 12.2EX |
12.2(25)EX1 |
|
| 12.2EY |
12.2(25)EY4 |
|
| 12.2EZ |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2FX |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2FY |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2FZ |
All 12.2FZ releases are fixed |
|
| 12.2IXA |
Vulnerable; contact TAC |
|
| 12.2IXB |
Vulnerable; contact TAC |
|
| 12.2IXC |
Vulnerable; contact TAC |
|
| 12.2JA |
Vulnerable; migrate to 12.3(8)JA2 or later |
|
| 12.2JK |
Vulnerable; migrate to 12.4(4)T4 or later |
|
| 12.2MB |
Vulnerable; migrate to 12.2(25)SW8 or later |
|
| 12.2MC |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.2S |
12.2(25)S12; Available 12-Feb-07 |
|
| 12.2SB |
12.2(28)SB2 |
12.2(31)SB |
| 12.2SBC |
12.2(27)SBC5 |
|
| 12.2SE |
12.2(35)SE |
|
| 12.2SEA |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2SEB |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2SEC |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2SED |
Vulnerable; migrate to 12.2(25)SEE1 or later |
|
| 12.2SEE |
12.2(25)SEE1 |
|
| 12.2SEF |
12.2(25)SEF1 |
|
| 12.2SEG |
All 12.2SEG releases are fixed |
|
| 12.2SG |
12.2(37)SG; Available 25-Apr-07 |
|
| 12.2SGA |
All 12.2SGA releases are fixed |
|
| 12.2SO |
12.2(18)SO7 |
|
| 12.2SRA |
All 12.2SRA releases are fixed |
|
| 12.2SRB |
All 12.2SRB releases are fixed |
|
| 12.2SU |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.2SV |
12.2(27)SV4 |
|
| 12.2(28)SV1 |
||
| 12.2(29)SV1 |
||
| 12.2SW |
12.2(25)SW8 |
|
| 12.2SX |
Vulnerable; migrate to 12.2(18)SXD7a or later |
|
| 12.2SXA |
Vulnerable; migrate to 12.2(18)SXD7a or later |
|
| 12.2SXB |
Vulnerable; migrate to 12.2(18)SXD7a or later |
|
| 12.2SXD |
12.2(18)SXD7a |
|
| 12.2SXE |
12.2(18)SXE6 |
|
| 12.2SXF |
12.2(18)SXF5 |
|
| 12.2SY |
Vulnerable; migrate to 12.2(18)SXD7a or later |
|
| 12.2SZ |
Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07 |
|
| 12.2T |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2TPC |
Vulnerable; contact TAC |
|
| 12.2XA |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XB |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XC |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2XD |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XE |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XF |
Vulnerable; migrate to 12.3(13a)BC6 or later |
|
| 12.2XG |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XH |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XI |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XJ |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XK |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XL |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XM |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XN |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XQ |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XR |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XS |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XT |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XU |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XV |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2XW |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YA |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YB |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YC |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YD |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.2YE |
Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07 |
|
| 12.2YF |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YG |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YH |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YJ |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YK |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YL |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YM |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YN |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YO |
Not vulnerable |
|
| 12.2YP |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YQ |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YR |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YS |
Not vulnerable |
|
| 12.2YT |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2YU |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YV |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YW |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YX |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.2YY |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2YZ |
Vulnerable; migrate to 12.2(25)S12 or later; Available 12-Feb-07 |
|
| 12.2ZA |
Vulnerable; migrate to 12.2(18)SXD7a or later |
|
| 12.2ZB |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2ZC |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2ZD |
Vulnerable; contact TAC |
|
| 12.2ZE |
Vulnerable; migrate to 12.3(19) or later |
|
| 12.2ZF |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2ZG |
Vulnerable; contact TAC |
|
| 12.2ZH |
Vulnerable; contact TAC |
|
| 12.2ZJ |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2ZL |
Vulnerable; contact TAC |
|
| 12.2ZN |
Vulnerable; migrate to 12.3(4)T13 or later |
|
| 12.2ZP |
Vulnerable; migrate to 12.4(8) or later |
|
| Affected 12.3-Based Release |
Rebuild |
Maintenance |
| 12.3 |
12.3(10f) |
12.3(19) |
| 12.3B |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.3BC |
12.3(13a)BC6 |
|
| 12.3(17a)BC2 |
||
| 12.3BW |
Vulnerable; migrate to 13.3(11)T11 or later |
|
| 12.3JA |
12.3(8)JA2 |
|
| 12.3JEA |
All 12.3JEA releases are fixed |
|
| 12.3JEB |
All 12.3JEB releases are fixed |
|
| 12.3JK |
12.3(2)JK2 |
|
| 12.3JX |
12.3(7)JX4 |
12.3(11)JX |
| 12.3T |
12.3(4)T13 |
|
| 12.3(11)T11 |
||
| 12.3TPC |
Vulnerable; contact TAC |
|
| 12.3XA |
Vulnerable; contact TAC |
|
| 12.3XB |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.3XC |
Vulnerable; contact TAC |
|
| 12.3XD |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.3XE |
Vulnerable; contact TAC |
|
| 12.3XF |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.3XG |
Vulnerable; contact TAC |
|
| 12.3XH |
Vulnerable; migrate to 12.3(11)T11 or later |
|
| 12.3XI |
12.3(7)XI8 |
|
| 12.3XJ |
Vulnerable; migrate to 12.3(14)YX2 or later |
|
| 12.3XK |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.3XQ |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.3XR |
Vulnerable; contact TAC |
|
| 12.3XS |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.3XU |
Vulnerable; migrate to 12.4(2)T5 or later |
|
| 12.3XW |
Vulnerable; migrate to 12.3(14)YX2 or later |
|
| 12.3XX |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.3XY |
Vulnerable; migrate to 12.4(8) or later |
|
| 12.3YA |
Vulnerable; contact TAC |
|
| 12.3YD |
Vulnerable; migrate to 12.4(2)T5 or later |
|
| 12.3YF |
Vulnerable; migrate to 12.3(14)YX2 or later |
|
| 12.3YG |
Vulnerable; migrate to 12.4(2)T5 or later |
|
| 12.3YH |
Vulnerable; migrate to 12.4(2)T5 or later |
|
| 12.3YI |
Vulnerable; migrate to 12.4(2)T5 or later |
|
| 12.3YJ |
Vulnerable; migrate to 12.3(14)YQ8 or later |
|
| 12.3YK |
Vulnerable; migrate to 12.4(4)T4 or later |
|
| 12.3YM |
12.3(14)YM8 |
|
| 12.3YQ |
12.3(14)YQ8 |
|
| 12.3YS |
Vulnerable; migrate to 12.4(4)T4 or later |
|
| 12.3YT |
Vulnerable; migrate to 12.4(4)T4 or later |
|
| 12.3YU |
Vulnerable; contact TAC |
|
| 12.3YX |
12.3(14)YX2 |
|
| 12.3YZ |
12.3(11)YZ1 |
|
| Affected 12.4-Based Release |
Rebuild |
Maintenance |
| 12.4 |
12.4(3e) |
|
| 12.4(7b) |
12.4(8) |
|
| 12.4MR |
12.4(6)MR1 |
|
| 12.4SW |
All 12.4SW releases are fixed |
|
| 12.4T |
12.4(2)T5 |
|
| 12.4(4)T4 |
||
| 12.4(6)T3 |
12.4(9)T |
|
| 12.4XA |
Vulnerable; migrate to 12.4(6)T3 |
|
| 12.4XB |
Vulnerable; contact TAC |
|
| 12.4XC |
12.4(4)XC3 |
|
| 12.4XD |
12.4(4)XD4 |
|
| 12.4XE |
All 12.4XE releases are fixed |
|
| 12.4XG |
All 12.4XG releases are fixed |
|
| 12.4XJ |
All 12.4XJ releases are fixed |
|
| 12.4XP |
All 12.4XP releases are fixed |
|
| 12.4XT |
All 12.4XT releases are fixed |
|
回避策
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様の サービスプロバイダーやサポート組織にご相談ください。
ネットワーク内のシスコ機器に適用可能な他の軽減策は付属ドキュメントである シスコ Applied Intelligence にてご案内しております。
http://www.cisco.com/warp/public/707/cisco-air-20070124-crafted-tcp.shtml注: VTY access-class フィルタを設定することは本脆弱性の影響を効果的に軽減する方法とはなりません。
Infrastructure ACLs (iACL)
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACL は、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティーと考えることが出来ます。 以下の ACLは、infrastructure access-list の一部として設定されるべきであり、infrastructure IP アドレス・レンジに含まれるIPアドレスを持つ全ての機器を防御します。
IOS における access list の例を以下に示します。
! permit TCP services from trust hosts destined to infrastructure addressesaccess-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK
! deny TCP packets from all other sources destined to infrastructure addresses
access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES MASK
! permit all other traffic to transit the device
access-list 150 permit IP any any
interface serial 2/0
ip access-group 150 in
ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists"は、アクセスリストによって基幹機器を守るためのガイドラインと、推奨される導入方法が記載されています。
http://www.cisco.com/warp/public/707/iacl.html
Receive ACLs (rACL)
分散型のプラットフォームにおいて、Cisco12000 シリーズ(GSR) では 12.0(21)S2、Cisco7500 シリーズでは 12.0(24)S、 Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL が選択肢となります。 Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響する前に、そのトラフィックから機器を防御することができます。
Receive ACL は それが設定された機器だけを防御するためにデザインされています。
Cisco12000 シリーズでは通過トラフィックは Receive ACL による影響を受けません。 そのため、以下の ACL の例において宛先 IP アドレス "any" が用いられ、 ACL は自ルータの物理あるいは仮想 IP アドレスのみを参照します。 Cisco7500シリーズや Cisco10720シリーズにおいては、 IP オプションを含む通過トラフィックは Receive ACL に従い 許可または遮断されます。
Receive ACL は、特定の脆弱性に対する回避策であると同時に、長期に渡る最善のネットワークセキュリティーと考えることが出来ます。ホワイトペーパーの "GSR: Receive Access Control Lists" には、機器宛の正当なパケットとそれ以外の遮断されるべきパケットを判断する手法が記載されています。
http://www.cisco.com/warp/public/707/racl.html
次の receive path ACL は trusted host からのこのタイプのトラフィックを許可するように記述されています
! permit tcp services from trusted hosts allowed to the RP
access-list 151 permit tcp TRUSTED_ADDRESSES MASK any
! deny tcp services from all other sources to the RP
access-list 151 deny tcp any any
! permit all other traffic to the RP
access-list 151 permit ip any any
! apply this access list to the 'receive' path
ip receive access-list 151
Control Plane Policing (CoPP)
Control Plane Policing (CoPP) により、本脆弱性の影響を軽減することが可能です。次の例では、信頼できるホストかの受信 IP アドレス宛の TCP トラフィック だけがルートプロセッサ(RP)に到達します。他の全ての通過 IP トラフィックには影響しません。
未知のあるいは信頼できない IP アドレスからのトラフィックをドロップすると、IP アドレスが動的にアサインされたホストが Cisco IOS 機器に接続できなくなる可能性があることに注意してください。
access-list 152 deny tcp TRUSTED_ADDRESSES MASK any
access-list 152 permit tcp any any
access-list 152 deny ip any any
!
class-map match-all permit-tcp-class
match access-group 152
!
!
policy-map permit-tcp-policy
class permit-tcp-class
drop
!
control-plane
service-policy input permit-tcp-policy
上記の CoPP の例では、 "permit" アクションの ACL エントリ に該当して本脆弱性を利用する可能性のあるパケットは policy-map の "drop" 作用により廃棄されますが、一方 "deny" アクションに該当するパケットは policy-map の "drop" 作用の影響を受けません。
policy-map permit-tcp-policy
class class permit-tcp-class
police 32000 1500 1500 conform-action drop exceed-action drop
Cisco IOS の 12.2S と 12.0S において policy-map syntax が異なることに注意してください。
policy-map permit-tcp-policy
class class permit-tcp-class
police 32000 1500 1500 conform-action drop exceed-action drop
CoPP は Cisco IOS の 12.0S, 12.2SX, 12.2S, 12.3T, 12.4 と 12.4T においてサポートされています。
CoPP の設定と使用法についての追加情報については、以下をご参照ください。
http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.shtml
Anti-spoofing
送信元アドレス詐称に起因する問題を軽減するには Unicast Reverse Path Forwarding (Unicast RPF) 機能が有効です。その機能はシスコルータおよびファイアーウォール製品で使用可能です。
詳細については以下を参照してください。
http://www.cisco.com/en/US/partner/products/ps6441/products_command_reference_chapter09186a00804ae49f.html#wp1229984
Unicast Reverse Path Forwarding (uRPF)を設定にすることにより、全ての詐称パケットが最初の機器で廃棄されます。
uRPF を設定にするためには以下コマンドを使用します。
router(config)# ip cef
router(config)# interface interface #
router(config-if)# ip verify unicast source reachable-via rx
BGP と BTSH/GTSM
ご使用のソフトウェアリリースによっては、BGP セッション をメモリリークから防御することが可能です。もし他の方法でこの脆弱性によるメモリリークのリスクを排除できない場合、CSCee73956(登録ユーザのみ) により、BTSH (BGP TTL Security Hack) 機能が改善されており、それよりメモリリークのリスクを低減することが可能です。この機能は、RFC 3682 中の GTSM (Generalized TTL Security Mechanism) として知られています。この機能は GTSM を eBGP セッションにのみ適用しています。
CSCee73956を含んだ IOSは、この攻撃から BGP ポート (TCP port 179) のみ防御します。
他のポートについては状況に応じて他の方法で防御する必要があります。
BTSH は iBGP セッションをサポートしていません。
BTSH については、IOS 12.0(27)S, 12.3(7)T 及び 12.2(25)S で最初に実装された機能です。
ただし、CSCee73956 での改善以前の BTSH では、この脆弱性を防御することはできません。
BTSH の詳細情報につきましては、以下をご参照ください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_7/gt_btsh.htm
修正ソフトウェアの入手
シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。
ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様はhttp://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
ご契約を有するお客様
ご契約を有するお客様は、通常の経路でそれを 入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けている お客様は、該当するサポート会社に連絡して、本脆弱性に関する適切な処置について支持と支援を受けてください。
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策 を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール:tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。
不正利用事例と公表
現在本アドバイサリ内で記載されている脆弱性を悪用する事例や不正利用は確認されておりません。
この脆弱性はシスコ社内の試験において発見されました。
この通知のステータス:FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝 搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。
- cust-security-announce@cisco.com
- first-teams@first.org (includes CERT/CC)
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。
更新履歴
| Revision 1.0a | 2007-Jan-26 | ソフトウェアバージョンおよび修正の項を修正(日本語版のみ) |
| Revision 1.0 | 2007-Jan-24 | 初版 |
シスコ セキュリティ手順
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス コワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlにアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。
フィードバック