High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
脆弱性は影響を受けたデバイスがある特定の不正 な IKEv2 パケットをどのようにが処理するか原因です。 攻撃者は処理されるべき影響を受けたデバイスへ不正 な IKEv2 パケットを送信 することによってこの脆弱性を不正利用する可能性があります。 このエクスプロイトにより、攻撃者は該当システムのリロードを引き起こして、DoS 状態を発生させることができます。
Internet Security Association and Key Management Protocol(ISAKMP)が有効に なるとき IKEv2 が on Cisco 自動的に有効に された IOS software および Cisco IOS XE ソフトウェア デバイスであるが、脆弱性は不正 な IKEv2 パケットの送信によってだけことができます引き起こす。
この脆弱性の原因となり得るものは IKEv2 パケットに限られます。
シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。 この脆弱性を軽減する回避策がありません。
このアドバイザリは、次のリンクより確認できます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-ikev2
注: 2014 年 3月 26 日、Cisco IOSソフトウェア Security Advisory によって組み込まれる書は 6 Cisco Security Advisory が含まれています。 すべてのアドバイザリは Cisco IOSソフトウェアの脆弱性に対処します。 各 Cisco IOSソフトウェア Security Advisory は正しい行進 2014 のすべての Cisco IOSソフトウェア脆弱性はパブリケーションを組み込んだことアドバイザリ、また Cisco IOS ソフトウェア リリースで詳述される脆弱性を解決する Cisco IOS ソフトウェア リリースをリストします。
個々の公表資料へのリンクは、次のリンクにある「シスコのイベント対応: 半年ごと Cisco IOSソフトウェア Security Advisory は次のリンクでパブリケーションを組み込みました:
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar14.html
該当製品
脆弱性のある製品
デバイスでは、脆弱性が存在する IKEv2 固有の機能を設定する必要はありません。
IKEv2 は、次に示すさまざまな VPN タイプを含む、多くの機能で使用されます。
- LAN 間 VPN
- リモート アクセス VPN(SSL VPN を除く)
- Dynamic Multipoint VPN(DMVPN)
- FlexVPN
次の例では、デバイスは IPバージョン 4 (IPv4)または IP バージョン 6(IPv6) を使用して UDP ポート 500 および UDP ポート 4500 の IKE パケットを、処理しています:
router# show udp
Proto Remote Port Local Port In Out Stat TTY OutputIF
17 --listen-- 192.168.130.21 500 0 0 1001011 0
17(v6) --listen-- UNKNOWN 500 0 0 1020011 0
17 --listen-- 192.168.130.21 4500 0 0 1001011 0
17(v6) --listen-- UNKNOWN 4500 0 0 1020011 0
!--- Output truncated
router#
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。 "Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOS ソフトウェア リリースの命名規則については、以下を参照してください。ホワイト ペーパー: Cisco IOS および NX-OS ソフトウェア リファレンス ガイド
脆弱性を含んでいないことが確認された製品
Cisco ASA 5500 シリーズはこの脆弱性から適応型セキュリティ アプライアンス(ASA)ソフトウェア影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアでは、IPv4 および IPv6 通信用 IKEv2 をサポートします。 IKEv2 通信は次の UDP ポートを使用できます。
- UDP ポート 500
- UDP ポート 4500、ネットワーク アドレス変換(NAT)トラバーサル(NAT-T)
脆弱性は影響を受けたデバイスがある特定の不正 な IKEv2 パケットをどのようにが処理するか原因です。 攻撃者は処理されるべき影響を受けたデバイスへ不正 な IKEv2 パケットを送信 することによってこの脆弱性を不正利用する可能性があります。 このエクスプロイトにより、攻撃者は該当システムのリロードを引き起こして、DoS 状態を発生させることができます。
ISAKMP が有効に なるとき IKEv2 が on Cisco 自動的に有効に された IOS software および Cisco IOS XE ソフトウェアであるが、脆弱性は不正 な IKEv2 パケットの送信によってだけことができます引き起こす。
この脆弱性の原因となり得るものは IKEv2 パケットに限られます。
エクスプロイトにより Cisco IOSソフトウェアはリロードします可能性がありま DoS 状態に導きます。
本脆弱性をエクスプロイトは、リストに掲載された UDP ポートのいずれかにおいて、IPv4 と IPv6 のどちらかを使用して起きる可能性があります。
この脆弱性 Cisco バグ ID CSCui88426 (登録ユーザのみ)で文書化されています、よくある脆弱性および公開(CVE) ID CVE-2014-2108 は割り当てられました
回避策
修正済みソフトウェア
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
2014 年 2 月では、Cisco は 2005 年と 2010 間の単一サプライヤーによって製造されたメモリコンポネントにおいての業界全体問題の詳細をアナウンスしました。 使用するシスコ製品の大半がこれらのコンポーネント フィールド 故障率下記の期待されたレベルを経験しているが、デバイスのリロードか電源の再投入はコンポーネントの障害を露出する可能性があります。 この問題と関連付けられる既知 セキュリティへの影響の間、該当製品のサブセットはソフトウェア アップグレード プロセスの間にメモリコンポネント失敗を経験するかもしれません。 Cisco は www.cisco.com/go/memory でアップグレード デシジョンを作る前に顧客を検討します関連情報および製品特有の Field Notice を推奨します。 各 Field Notice は製品がソフトウェアアップグレードの間にメモリコンポネント失敗を経験する可能性があるかどうか示します。
Cisco IOS ソフトウェア
Cisco IOSソフトウェア チェッカーは Cisco IOSソフトウェアの脆弱性への公開を判別する最も速いメソッドです。 すぐに特定の Cisco IOS ソフトウェア リリースに影響を与える Cisco Security Advisory を識別するツール割り当て顧客。 ユーザはリリースをドロップダウン メニューから選択するか、またはローカルシステムからファイルをアップロードすることによって検索を始めることができます。 ツールは show version コマンド出力を解析するまたことができます。 結果は行進 2014 組み込まれた書のすべての以前に公開された Cisco Security Advisory、特定のパブリケーション、またはすべてのアドバイザリに対して検索によってカスタマイズすることができます。
顧客はまた公開を判別するのに Cisco IOSソフトウェア 下記の表を使用できます。 各行は Cisco IOS ソフトウェア リリースに対応します; 特定のリリースが脆弱である場合、以前のリリースは 2番目のカラムに修正が含まれているリストされています。 正しいこの Cisco IOSソフトウェア Security Advisory のすべての脆弱性がパブリケーションを組み込んだこと第 3 列リスト最も早い可能性のある リリース。
詳しい修正済みソフトウェア 情報を表示するために拡張して下さい
Cisco IOS XE ソフトウェア
Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。| Cisco IOS XE ソフトウェア リリース | First Fixed Release(修正された最初のリリース) | 行進 2014 Cisco IOSソフトウェア Security Advisory によって組み込まれる書のすべてのアドバイザリのための最初修正済みリリース |
|---|---|---|
| 2.1.x | 脆弱性なし | 脆弱性なし |
| 2.2.x | 脆弱性なし | 脆弱性なし |
| 2.3.x | 脆弱性なし | 脆弱性なし |
| 2.4.x | 脆弱性なし | 脆弱性なし |
| 2.5.x | 脆弱性なし | 脆弱性なし |
| 2.6.x | 脆弱性なし | 脆弱性なし |
| 3.1.xS | 脆弱性なし | 脆弱性なし |
| 3.1.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xS | Vulnerable; 3.7.5S またはそれ以降への移行する。 | Vulnerable; 3.7.5S またはそれ以降への移行する。 |
| 3.2xSE | 脆弱性なし | 脆弱性なし |
| 3.2.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xXO | 脆弱性なし | 脆弱性なし |
| 3.2.xSQ | 脆弱性なし | 脆弱性なし |
| 3.3.xS | Vulnerable; 3.7.5S またはそれ以降への移行する。 | Vulnerable; 3.7.5S またはそれ以降への移行する。 |
| 3.3.xSE | 脆弱性なし | 脆弱性なし |
| 3.3.xSG | Vulnerable; 3.5.2E への移行する。 | Vulnerable; 3.5.2E への移行する。 |
| 3.3.xXO | Vulnerable; 3.6.0E (利用可能 な 2014 年 5 月)への移行する。 | Vulnerable; 3.6.0E (利用可能 な 2014 年 5 月)への移行する。 |
| 3.3.xSQ | 脆弱性なし | 脆弱性なし |
| 3.4.xS | Vulnerable; 3.7.5S またはそれ以降への移行する。 | Vulnerable; 3.7.5S またはそれ以降への移行する。 |
| 3.4.xSG | Vulnerable; 3.5.2E への移行する。 | Vulnerable; 3.5.2E への移行する。 |
| 3.5.xS | Vulnerable; 3.5.2E への移行する。 | Vulnerable; 3.5.2E への移行する。 |
| 3.5.xE | 3.5.2E | 3.5.2E |
| 3.6.xS | Vulnerable; 3.7.5S またはそれ以降への移行する。 | Vulnerable; 3.7.5S またはそれ以降への移行する。 |
| 3.6.xE | 脆弱性なし | 3.6.0E (利用可能 な 2014 年 5 月) |
| 3.7.xS | 3.7.5S | 3.7.5S |
| 3.8.xS | Vulnerable; 3.10.1S またはそれ以降への移行する。 | Vulnerable; 3.10.2S またはそれ以降への移行する。 |
| 3.9.xS | Vulnerable; 3.10.1S またはそれ以降への移行する。 | Vulnerable; 3.10.2S またはそれ以降への移行する。 |
| 3.10.xS | 3.10.1S | 3.10.2S |
| 3.11.xS | 脆弱性なし | 脆弱性なし |
Cisco IOS XR ソフトウェア
Cisco IOS XR ソフトウェアはこの文書で表われる脆弱性から影響を受けません。不正利用事例と公式発表
この脆弱性は内部 保全テストの間に Cisco によって検出されました。
URL
改訂履歴
| リビジョン 1.0 | 2014-March-26 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。