Cisco IOS IPS サービス拒否の脆弱性

Cisco IOS 侵入防御システム（IPS）はインライン、効果的にネットワーク攻撃の広範囲を軽減する強度のパケット インスペクション 機能です。 コンポーネントは Cisco IOS 統合型の脅威制御 フレームワークのおよび Cisco IOS Flexible Packet Matching（FPM）補足される正確にリアルタイムの悪意のあるトラフィックを識別し、分類し、停止するか、またはブロックする知性を機能によって、Cisco IOS IPS ネットワークに与えます。 Cisco IOS IPS 機能のその他の情報は http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/gt_fwids.html で見つけることができます。

Cisco IOS IPS 機能の概要に前、Cisco IOS は同じような機能を、Cisco IOS Intrusion detection system （IDS）提供しました。 Cisco IOS IDS 機能はこの脆弱性から影響を受けません。 Cisco IOS IDS 機能のその他の情報は http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/ios_ids.html で見つけることができます。

ある特定のネットワークトラフィックは引き起こします Cisco IOSデバイスがクラッシュするか、またはハングしますかもしれない SERVICE.DNS シグニチャ エンジンの IPS シグニチャをできます。 これによりネットワークトラフィックの中断という結果に終るサービス拒否を引き起こすかもしれません。 この脆弱性は Cisco バグ ID CSCsq13348 （登録ユーザのみ）で文書化されています。

この脆弱性よくある脆弱性および公開（CVE） ID CVE-2008-2739 は割り当てられました。

回避策はデバイスで設定される各 Cisco IOS IPS ポリシーへ Access Control List （ACL）を追加することでポート 53/udp か 53/tcp に向かうトラフィックが Cisco IOS IPS 機能によって検査されないように構成されています。 次の ACL はデバイスコンフィギュレーションに追加される必要があります:

! deny inspection of traffic with a destination port of 53/udp
access-list 177 deny   udp any any eq 53
! deny inspection of traffic with a destination port of 53/tcp
access-list 177 deny   tcp any any eq 53
! allow all other traffic to be inspected
access-list 177 permit ip any any

デバイスの Cisco IOS IPS ポリシーの各例はそれから前の ACL を参照するために修正される必要があります。 どの Cisco IOS IPS ポリシーがデバイスで設定されるか判別するために、コマンド show running-config を実行して下さい | IP IPS 名前次を次の例含んで下さい:

Router#show running-config | include ip ips name
ip ips name ios-ips-incoming
ip ips name ios-ips-outgoing
Router#

前例では、2 つの Cisco IOS IPS ポリシーはデバイスで設定されます。 次の例は以前に識別される Cisco IOS IPS ポリシーの各自に ACL の付加を示したものです:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip ips name ios-ips-incoming list 177
Router(config)#ip ips name ios-ips-outgoing list 177
Router(config)#end
Router#

検証手順として、コマンドは ACL が Cisco IOS IPS ポリシーの各自にきちんと接続されたことを確認するために IP IPS がインターフェイス再度実行することができることを示します:

Router#show ip ips interfaces
    Interface Configuration
      Interface FastEthernet0/0
        Inbound IPS rule is ios-ips-incoming
    acl list 177
        Outgoing IPS rule is not set
      Interface FastEthernet0/1
        Inbound IPS rule is not set
        Outgoing IPS rule is ios-ips-outgoing
    acl list 177
Router#

注: Cisco IOS IPS 機能の SERVICE.DNS エンジンを使用してユーザーかすべてのシグニチャを無効に するか、または削除することは推奨される回避策ではないです。 前の回避策はこの脆弱性のための唯一の Cisco 推奨回避策です。

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。 特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。 「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。 特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。 表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、お客様 によって Cisco に報告されました。