High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS ゾーン ベースのポリシー ファイアウォール セッション開始プロトコル(SIP) インスペクションで設定される Cisco IOS® デバイスは仕様 SIP 中継パケットを処理するときサービス拒否 (DoS)不正侵入に脆弱です。 脆弱性の不正利用は影響を受けたデバイスのリロードという結果に終る可能性があります。
シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。
この脆弱性を軽減する回避策は利用できます。
このアドバイザリは http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090923-ios-fw で掲示されます
注: 2009 年 9 月 23 日の IOS アドバイザリ バンドル公開には 11 件の Security Advisory が含まれています。 10 件のアドバイザリは Cisco IOS ソフトウェアの脆弱性に対処するもので、 1 件は Cisco Unified Communications Manager の脆弱性に対処するものです。 各アドバイザリには、そのアドバイザリで詳述された脆弱性を解決するリリースを記載しています。
"Cisco Event Response: Semiannual Cisco IOS Software Advisory Bundled Publication" の個々の公開リンクは次のリンク内に掲載されています:
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep09.html
該当製品
修正済みソフトウェア
Cisco 製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、機器にログインし show version コマンドを実行してシステムバナーを表示させます。 "Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他の Cisco 機器では、 show version コマンドがない場合や、表示が異なる場合があります。
以下の例は、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:
Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright ©) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih <output truncated>
次の例は C1841-ADVENTERPRISEK9-M のインストール済みイメージ名前と Cisco IOS ソフトウェア リリース 12.4(20)T を実行している Cisco製品を指定したものです:
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright ©) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team <output truncated>
Cisco IOS ソフトウエアのリリース命名規則の追加情報は以下のリンクの "White Paper: Cisco IOS Reference Guide" で確認できます: http://www.cisco.com/warp/public/620/1.html
デバイスは設定に設定されるレイヤ3 かレイヤ7 SIP アプリケーション特有のポリシーがあるこれらのポリシーはあらゆるファイアウォール ゾーンに適用されます場合脆弱であり。 デバイスがデバイスに脆弱 な 設定を、ログイン判別し実行している、Command Line Interface (CLI) コマンド show policy-map 型 Inspect ゾーン ペアを発行するためかどうか | atch を含んで下さい: access|プロトコル一口。 出力が「一致が含まれていれば: プロトコル一口は」、デバイス 脆弱です。 出力が一致が含まれていれば: グループ番号は、それからデバイス 脆弱その時だけ、参照されたアクセス リスト割り当て SIP プロトコル(UDP ポート 5060、TCP 5060 および 5061)です。 次の例は Cisco IOS ゾーン ベースのポリシー ファイアウォール SIP インスペクションで設定される脆弱 な デバイスを示したものです:
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip
Match: protocol sip
Router#
次の例は応用アクセス リストを通って SIP インスペクションで設定される脆弱 な デバイスを示したものです:
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip
Match: access-group 102
Router#
Router#show access-list 102
Extended IP access list 102
10 permit udp any any eq 5060
20 permit tcp any any eq 5060
30 permit tcp any any eq 5061
Router#
SIP インスペクション用に設定されないし、この設定をサポートしないデバイスはブランク 行かエラーメッセージを返します。 以下は Cisco IOS Firewall をサポートするで有効に なる SIP インスペクションがありませんデバイスの例:
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip Router#
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。 脆弱性が存在しない製品は下記のものを含んでいます:
- Cisco PIX 500 シリーズ ファイアウォール
- Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス(ASA)ソフトウェア
- Catalyst 6500 スイッチ用の Firewall Services Module (FWSM)および 7600 シリーズ ルータ
- Cisco XR 12000 シリーズ ルータのマルチサービス ブレード(MSB)の仮想 な ファイアウォール(VFW)アプリケーション
- Cisco ACE アプリケーション コントロール エンジン モジュール
- Cisco IOS ゾーン ベースのポリシー ファイアウォール SIP インスペクションで設定されない Cisco IOSデバイス。
- SIP (CBAC)のためのレガシー Cisco IOS Firewall サポートで設定される Cisco IOSデバイス
- Cisco IOS XE ソフトウェア
- Cisco IOS XR ソフトウェア
改訂履歴
| リビジョン 1.0 |
2009-September-23 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。
フィードバック