High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
脆弱性は影響を受けたデバイスがある特定の不正 な IKEv2 パケットをどのようにが処理するか原因です。 攻撃者は処理されるべき影響を受けたデバイスへ不正 な IKEv2 パケットを送信 することによってこの脆弱性を不正利用する可能性があります。 このエクスプロイトにより、攻撃者は該当システムのリロードを引き起こして、DoS 状態を発生させることができます。
Internet Security Association and Key Management Protocol(ISAKMP)が有効に なるとき IKEv2 が on Cisco 自動的に有効に された IOS software および Cisco IOS XE ソフトウェア デバイスであるが、脆弱性は不正 な IKEv2 パケットの送信によってだけことができます引き起こす。
IKEv2 パケットだけこの脆弱性を引き起こすことができます。
この脆弱性に対処するソフトウェア アップデートは、すでにシスコからリリースされています。 この脆弱性を軽減する回避策がありません。
このアドバイザリは、次のリンクより確認できます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-ikev2
注: 2014 年 3月 26 日、Cisco IOSソフトウェア Security Advisory によって組み込まれる書は 6 Cisco Security Advisory が含まれています。 すべてのアドバイザリは Cisco IOSソフトウェアの脆弱性に対処します。 各 Cisco IOSソフトウェア Security Advisory は正しい行進 2014 のすべての Cisco IOSソフトウェア脆弱性はパブリケーションを組み込んだことアドバイザリ、また Cisco IOS ソフトウェア リリースで詳述される脆弱性を解決する Cisco IOS ソフトウェア リリースをリストします。
個々のパブリケーション リンクは Cisco イベント応答にあります: 半年ごと Cisco IOSソフトウェア Security Advisory は次のリンクでパブリケーションを組み込みました:
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar14.html
該当製品
修正済みソフトウェア
デバイスは脆弱であるためにあらゆる IKEv2-specific 機能で設定される必要はありません。
IKEv2 は、次に示すさまざまな VPN タイプを含む、多くの機能で使用されます。
- LAN 間 VPN
- リモート アクセス VPN(SSL VPN を除く)
- Dynamic Multipoint VPN(DMVPN)
- FlexVPN
次の例では、デバイスは IPバージョン 4 (IPv4)または IP バージョン 6(IPv6) を使用して UDP ポート 500 および UDP ポート 4500 の IKE パケットを、処理しています:
router# show udp
Proto Remote Port Local Port In Out Stat TTY OutputIF
17 --listen-- 192.168.130.21 500 0 0 1001011 0
17(v6) --listen-- UNKNOWN 500 0 0 1020011 0
17 --listen-- 192.168.130.21 4500 0 0 1001011 0
17(v6) --listen-- UNKNOWN 4500 0 0 1020011 0
!--- Output truncated
router#
Cisco 製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、機器にログインし show version コマンドを実行してシステムバナーを表示させます。 "Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他の Cisco 機器では、 show version コマンドがない場合や、表示が異なる場合があります。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOS ソフトウェア リリース 命名規則についてのその他の情報は白書で利用できます: Cisco IOS および NX-OS ソフトウェア レファレンスガイド。
脆弱性を含んでいないことが確認された製品
Cisco ASA 5500 シリーズはこの脆弱性から適応型セキュリティ アプライアンス(ASA)ソフトウェア影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
改訂履歴
| リビジョン 1.0 | 2014-March-26 | Initial public release. |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。
フィードバック