SSL パケットを処理している間 Cisco IOS の脆弱性

この脆弱性は SSL セッションの終了の間に引き起こされます。 ユーザ名、パスワードまたは証明書のような有効な資格情報の所有物が必要となりません。 転送 プロトコルとして SSL プロトコル使用 TCP。 完全な TCP 三方ハンドシェイクの要件はこの脆弱性がスプーフィングされた IP アドレスの使用によって不正利用されること確率を減らします。

設定された SSL ベース サービスと脆弱 な Cisco IOSソフトウェアを実行するデバイスは SSL セッションを終了している間クラッシュします。

この脆弱性 Cisco バグ ID CSCsj85065 （登録ユーザのみ）で文書化されています、よくある脆弱性および公開（CVE） ID CVE-2008-3798 は割り当てられました。

脆弱 な デバイスのエクスプロイトを防ぐために、SSL ベース サービスは無効に なる必要があります。 ただしデバイスの定期的なメンテナンスおよびオペレーションがこのサービスに頼れば、回避策がありません。

次のコマンドは脆弱 な HTTPS サービスを無効に します:

Router(config)#no ip http secure-server

次のコマンドは脆弱 な SSL VPN サービスを無効に します:

Router(config)#no webvpn enable

次のコマンドは脆弱 な OSP サービスを無効に します:

Router(config)#no settlement <n>

もう一つのオプションは HTTPS を使用して HTTP プロトコルへ代りに戻ることです。 この回避策のマイナス面は解決情報がネットワーク 保護されていないに送信 されることです。

不正 ホストが影響を受けたデバイスにアクセスすることを防ぐことによってこの脆弱性を軽減することは可能性のあるです。

コントロール プレーン ポリシング（CoPP）

コントロール プレーン ポリシング（CoPP）をサポートする Cisco IOS ソフトウェア バージョンは管理および制御平面を目標とする不正侵入からデバイスの保護を助けるために設定することができます。 CoPP は、Cisco IOS リリース トレイン 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T で使用できます。

CoPP 次の例では、一致する ACL エントリは policy-map ドロップする 機能によって割り当て操作を用いるエクスプロイト パケット拒否操作を一致するパケットが policy-map ドロップする 機能から（示されていない）影響を受けない一方、廃棄されます:

!-- Include deny statements up front for any protocols/ports/IP addresses that 
!-- should not be impacted by CoPP
!-- Include permit statements for the protocols/ports that will be 
!-- governed by CoPPaccess-list 100 permit tcp any any eq 443
!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.
!
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.
!

class-map match-all drop-SSL-class match access-group 100

!
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
!

policy-map drop-SSL-policy class drop-SSL-class   drop   

!-- Apply the Policy-Map to the Control-Plane of the
!-- device.
!

control-plane service-policy input drop-SSL-policy

注: CoPP 先行する例では、一致する割り当て操作を用いる ACL エントリは policy-map ドロップする 機能によってそれらのパケットの廃棄という結果にエクスプロイト パケット拒否操作を一致するパケットが policy-map ドロップする 機能から影響を受けない一方、終ります。

CoPP 機能の設定と使用方法についての詳細は、次のリンク先で確認できます。 http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html および http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html。

Access Control List（ACL; アクセス コントロール リスト）

Access Control List （ACL）がこの脆弱性を目標とする不正侵入の軽減を助けるのに使用することができます。 ACL では、正規の送信元からのパケットのみがデバイスに到達でき、他のすべてのパケットは廃棄されるように指定できます。 次の例は、信頼できる送信元からの正規の SSL セッションを許可し、他のすべての SSL セッションを拒否する方法を示しています。

access-list 101 permit tcp host <legitimate_host_IP_address> host 
   <router_IP_address> eq 443
access-list 101 deny tcp any any eq 443

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。 特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。 「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。 特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。 表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。