High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
一連の TCP パケットにより Cisco トンネリング 制御プロトコル(cTCP)カプセル化 機能で Easy VPN サーバで設定されるサービス拒否 (DoS)状態 IOSデバイスを on Cisco 引き起こすかもしれません。 シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。 対応策は見つかりません; ただし、IPSec NAT 走査(NAT-T)機能は代替として使用することができます。
このアドバイザリは 325-ctcp で掲示されます。
注: 2009 年 3月 25 日、Cisco IOS セキュリティ アドバイザリによって組み込まれる書は 8 つのセキュリティ アドバイザリが含まれています。 アドバイザリすべては Cisco IOSソフトウェアの脆弱性に対処します。 各アドバイザリはリリースをリストしますアドバイザリの脆弱性を解決する。
各ドキュメントへのリンクは次のとおりです。
- Cisco IOS cTCP サービス拒否の脆弱性
325-ctcp
- Cisco IOSソフトウェア倍数は IP ソケット脆弱性を特色にします
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-ip
- Cisco IOSソフトウェア モバイル IP およびモービル IPv6 脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-mobileip
- Cisco IOSソフトウェア Secure Copy(SCP) 特権 拡大脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-scp
- Cisco IOSソフトウェア Session Initiation Protocol(SIP) サービス拒否の脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-sip
- Cisco IOSソフトウェア複数の機能によって細工 される TCP シーケンス脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-tcp
- Cisco IOSソフトウェア複数の機能 巧妙に細工された UDP パケットの脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-udp
- Cisco IOSソフトウェア WebVPN および SSLVPN 脆弱性
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-webvpn
該当製品
修正済みソフトウェア
バージョン 12.4(9)T または それ 以降を実行し、Cisco EZVPN サーバのトンネリング 制御プロトコル(cTCP)カプセル化のために設定される Cisco IOSデバイスは脆弱です。
注: cTCP カプセル化 機能は Cisco IOSバージョン 12.4(9)T で導入されました。 cTCP カプセル化 機能はデフォルトでディセーブルにされます。 EzVPN クライアントのために設定される Cisco IOSデバイスはこの脆弱性から影響を受けません。 EZVPN サーバで設定されるデバイスだけ脆弱です。
Easy VPN のための cTCP カプセル化 機能を設定するために、グローバル コンフィギュレーション モードで暗号 ctcp コマンドを使用して下さい。 デバイスが暗号 ctcp ポート <port> コマンドでを受信することオプションでポート番号を規定できます。 10 までの番号は設定し、ポート値は 1 〜 65535 のどれである場合もあります。 Port キーワードが設定されない場合、デフォルトポート番号は 10000 です。 次の例では、Cisco IOSデバイスはポート 10000 の cTCP メッセージを聞き取るために設定されます。
crypto ctcp port 10000
注: Port キーワードは EZVPN サーバとして機能する Cisco IOSデバイスでだけ設定されます。
デバイスに Cisco製品、ログインで動作する Cisco IOSソフトウェアのバージョンを判別し、システムバナーを表示する show version コマンドを発行するため。 Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。 出力次の行で、イメージ名は「バージョンに」先行しているかっこと IOSリリース名の間で表示する。 その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は C2500-IS-L のインストール済みイメージ名前と Cisco IOS ソフトウェア リリース 12.3(26) を実行する Cisco製品を指定したものです:
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by cisco Systems, Inc.
Compiled Mon 17-Mar-08 14:39 by dchih
<output truncated>
次 の 例は C1841-ADVENTERPRISEK9-M のイメージ名と Cisco IOS ソフトウェア リリース 12.4(20)T を実行する製品を示します:
Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 10-Jul-08 20:25 by prod_rel_team
<output truncated>
Cisco IOSリリース命名規則のその他の情報は「白書と資格を与えられる文書で見つけることができます: http://www.cisco.com/warp/public/620/1.html で利用可能である Cisco IOSレファレンスガイド」。
脆弱性を含んでいないことが確認された製品
cTCP のために設定されない Cisco IOSデバイスはこの脆弱性から影響を受けません。 Cisco ASA および Cisco VPN 3000 シリーズ コンセントレータは脆弱ではないです。 EzVPN クライアントで設定される Cisco IOSデバイスはこの脆弱性から影響を受けません。 Cisco VPN Client は脆弱ではないです。 Cisco IOS XR および Cisco IOS XE ソフトウェアはこの脆弱性から影響を受けません。 他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
改訂履歴
| リビジョン 1.1 |
2009-June-25 |
March/09 によって結合される修正済みソフトウェア 表への取除かれた参照。 |
| リビジョン 1.0 |
2009-March-25 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。
フィードバック