High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。
SIP を実行する必要があるデバイスのための回避策がありません; ただし、軽減はこの脆弱性への公開を制限して利用できます。
このアドバイザリは、次のリンクより確認できます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-sip
注: 2014 年 9月 24 日、Cisco IOSソフトウェア Security Advisory によって組み込まれる書は 6 Cisco Security Advisory が含まれています。 すべてのアドバイザリは Cisco IOSソフトウェアの脆弱性に対処します。 個々の公表資料へのリンクは、次のリンクにある「シスコのイベント対応: 半年ごと Cisco IOSソフトウェア Security Advisory は次のリンクでパブリケーションを組み込みました:
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep14.html
該当製品
脆弱性のある製品
注: SIP またはセキュア SIP のためのポートがデフォルトから変更される場合、前例は使用中の新しいポートを参照する必要があります。Router# show udp | include 5060 17 0.0.0.0 0 --any-- 5060 0 0 11 0 Router# show tcp brief all | include 5060|5061 7F1277405E20 0.0.0.0.5061 *.* LISTEN 7F127BBE20D8 0.0.0.0.5060 *.* LISTEN
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。 "Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。 他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOS ソフトウェア リリースの命名規則については、以下を参照してください。ホワイト ペーパー: Cisco IOS および NX-OS ソフトウェア リファレンス ガイド
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco IOSソフトウェアおよび Cisco IOS XE ソフトウェアのセッション開始プロトコル(SIP) 実装の脆弱性はリモート攻撃者非認証により影響を受けたデバイスのリロードを引き起こすようにする可能性があります。
脆弱性は特定の SIP メッセージの不正確な処理が原因です。 攻撃者は確立された コールの巧妙に細工された SIP メッセージを送信 するか、またはデバイスのリロードを引き起こす、巧妙に細工された SIP メッセージを含むコールを開始することによってこの脆弱性を不正利用する可能性があります。 デバイスに向かうトラフィックだけ脆弱性を引き起こすことができます; 中継 SIP トラフィックはエクスプロイト ベクトルではないです。 この脆弱性は IPバージョン 4 (IPv4)または IP バージョン 6(IPv6) 上の SIP と通信プロトコル不正利用することができます。 この脆弱性は UDP トラフィック上の SIP か TCPトラフィック上の SIP と不正利用することができます。
この脆弱性は Cisco バグ ID CSCul46586 (登録ユーザのみ)で文書化されています。 この脆弱性よくある脆弱性および公開(CVE) ID CVE-2014-3360 は割り当てられました。
回避策
ネットワーク内の on Cisco 配置されたデバイスの場合もある追加軽減は次のリンクで利用可能の Cisco IOSソフトウェア Session Initiation Protocol(SIP)識別する応用軽減情報ドキュメントガイドで利用できサービス拒否の脆弱性の軽減不正利用、: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=35259
SIP リスニングポートを無効に すること
SIP が有効に なるように要求しないデバイスに関しては最も簡単のおよびほとんどの有効な回避策はデバイスで処理する SIP を無効に することです。 Cisco IOSソフトウェアのリリースおよび Cisco IOS XE ソフトウェアは管理者が次のコマンドで SIP を無効に することを可能にします:警告: この回避策をメディア ゲートウェイ コントロール プロトコル(MGCP)または H.323 コールを処理しているデバイスに適用するとき、デバイスはアクティブ コールが処理されている間処理する SIP を停止しません。 このような状況では、この対応策はアクティブ コールが簡潔に停止することができるとき Maintenance ウィンドウの間に設定されるはずです。sip-ua no transport udp no transport tcp no transport tcp tls
show udp および show tcp はすべてのコマンドを SIP UDP および TCP ポートがこの回避策をことを適用した後閉じることを確認するのに使用することができます報告します。
使用中の show ip sockets コマンドからの Cisco IOS ソフトウェア リリースによっては SIP が無効に なるときまだ開いた SIP ポートを示すそれらへトラフィックを送信 するにより SIP プロセスは次のメッセージを表示する:
*Nov 2 11:36:47.691: sip_udp_sock_process_read: SIP UDP Listener is DISABLED
コントロール プレーン ポリシング
SIP サービスを提供する必要があるデバイスに関しては信頼できないソースからのデバイスに SIP トラフィックをブロックするのにコントロール プレーン ポリシング(CoPP)を使用することは可能性のあるです。 CoPP が特色にする Cisco IOSソフトウェアおよび Cisco IOS XE ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、12.4T およびより新しいサポート。 デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。 次の例は特定のネットワークコンフィギュレーションに適応させることができます:注: SIP は転送 プロトコルとして UDP を使用できるので信頼された IP アドレスからのこれらのポートにアクセスコントロール アクセス・コントロール・リストをその割り当て通信バイパスするかもしれない IPパケットの送信元アドレスをスプーフィングすることは可能性のあるです。 スプーフィングすることを防ぐのを助けるべき Unicast Reverse Path Forwarding(uRPF)についての情報は Unicast Reverse Path Forwarding(uRPF)理解で利用できます。!– The 192.168.1.0/24 network and the 172.16.1.1 host are trusted. !– Everything else is not trusted. The following access list is used !– to determine which traffic needs to be dropped by a control plane !– policy (the CoPP feature): if the access list matches (permit), !– traffic will be dropped and if the access list does not !– match (deny), traffic will be processed by the router.
access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061 access-list 100 deny udp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5061 access-list 100 permit udp any any eq 5060 access-list 100 permit tcp any any eq 5060 access-list 100 permit tcp any any eq 5061
!– Create a class map for traffic to be policed by !– the CoPP feature.
class-map match-all drop-sip-class match access-group 100
!– Create a policy map that will be applied to the !– control plane of the device.
policy-map control-plane-policy class drop-sip-class drop
!– Apply the policy map to the control plane of the !– device. control-plane service-policy input control-plane-policy
CoPP 先行する例では、一致する アクセス制御エントリは割り当て操作を用いる潜在的なエクスプロイト パケット拒否操作を一致するパケットはポリシーマップ ドロップする 機能から影響を受けないがこれらのパケットをポリシーマップ ドロップする 機能によって廃棄します。 CoPP 機能の設定および使用についてのその他の情報は QoS ポリシングおよびシェーピングコンフュギュレーション ガイドのコントロール プレーン ポリシング 実装 最良の方法およびコントロール プレーン ポリシング章で利用できます。
修正済みソフトウェア
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
Cisco IOS ソフトウェア
Cisco は顧客が Cisco IOSソフトウェアの脆弱性への公開を判別するのを助けるようにツールを提供しました。 Cisco IOS Software Checker により、次のタスクを実行できます。
- ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードすることによって、検索を開始する
- show version コマンドの出力をツールで解析する
- 2015 年 9 月組み込まれた書にすべての以前に公開された Cisco Security Advisory、特定のパブリケーション、またはすべてのアドバイザリを含めることによってカスタマイズされた検索を作成して下さい
ツールは各 Cisco Security Advisory のすべての脆弱性を解決する以前のリリースおよび問い合わせられたソフトウェア リリースに影響を与える Cisco Security Advisory を識別します(「最初に」固定される)。 該当する場合、ツールはまた最も早い可能性のある リリースを戻しますすべての表示する アドバイザリのすべての脆弱性を解決する(「結合される最初に」固定される)。 Cisco IOSソフトウェア チェッカーを単に参照するか、または次のフィールドでこの組み込まれたパブリケーションのアドバイザリの何れかから影響を受けるかどうか判別するために Cisco IOS ソフトウェア リリースを入力して下さい。
(入力例: 15.1(4)M2)
Cisco IOS XE ソフトウェア
Cisco IOS XE ソフトウェアはこの アドバイザリに記載される 脆弱性から影響を受けます。Cisco IOS XE ソフトウェア リリース | First Fixed Release(修正された最初のリリース) | 2014 年 9 月 Cisco IOSソフトウェア Security Advisory によって組み込まれる書のすべてのアドバイザリのための最初修正済みリリース |
---|---|---|
2.1.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
2.2.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
2.3.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
2.4.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
2.5.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
2.6.x | 脆弱性なし | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.1.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.1.xSG | 脆弱性なし | 脆弱性なし |
3.2.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.2.xSE |
脆弱性なし |
Vulnerable; 3.3.2SE への移行する |
3.2.xSG | 脆弱性なし | 脆弱性なし |
3.2.xXO | 脆弱性なし | 脆弱性なし |
3.2.xSQ | 脆弱性なし | 脆弱性なし |
3.3.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.3.xSE | 脆弱性なし | 3.3.2SE |
3.3.xSG | 脆弱性なし | Vulnerable; 3.4.4SG またはそれ以降への移行する。 |
3.3.xXO | 脆弱性なし | 3.3.1XO |
3.3.xSQ | 脆弱性なし | 脆弱性なし |
3.4.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.4.xSG | 脆弱性なし | 3.4.4SG |
3.4.xSQ | 脆弱性なし | 脆弱性なし |
3.5.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.5.xE | 脆弱性なし | 3.5.2E |
3.6.xS | Vulnerable; 3.7.6S またはそれ以降への移行する。 | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.6.xE | 脆弱性なし | 脆弱性なし |
3.7.xS | 3.7.6S | Vulnerable; 3.7.6S またはそれ以降への移行する。 |
3.7.xE | 脆弱性なし | 脆弱性なし |
3.8.xS | Vulnerable; 3.10.4S またはそれ以降への移行する。 | Vulnerable; 3.10.4S またはそれ以降への移行する。 |
3.9.xS | Vulnerable; 3.10.4S またはそれ以降への移行する。 | Vulnerable; 3.10.4S またはそれ以降への移行する。 |
3.10.xS | 3.10.4S | 3.10.4S |
3.11.xS | Vulnerable; 3.12S またはそれ以降への移行する。 | Vulnerable; 3.12S またはそれ以降への移行する。 |
3.12.xS | 脆弱性なし | 脆弱性なし |
3.13.xS | 脆弱性なし | 脆弱性なし |
Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。
Cisco IOS XR ソフトウェア
Cisco IOS XR ソフトウェアは 2014 年 9 月 Cisco IOSソフトウェア Security Advisory によって組み込まれる書で表われる脆弱性の何れかから影響を受けません。不正利用事例と公式発表
この脆弱性は内部 保全テストの間に検出されました。
URL
改訂履歴
リビジョン 1.0 | 2014-September-24 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。