Guest

Cisco IOS and NX-OS Software Locator/ID Separation Protocol Packet Denial of Service Vulnerability

Updated: 2016 年 3 月 23 日


シスコのセキュリティ

High
Advisory ID:
cisco-sa-20160323-lisp
Published:
2016 March 23 16:00  GMT
Version 1.0:
Final
CVSS Score:
Workarounds:
No workarounds available
Cisco Bug IDs:
CSCuu64279
CSCuv11993
CVSS Score:
Workarounds:
No workarounds available
Cisco Bug IDs:
CSCuu64279
CSCuv11993
CVE-2016-1351
CWE-399

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

  • Cisco Catalyst 6500/6800 シリーズ スイッチの Cisco IOS ソフトウェアと、M1 シリーズ ギガビット イーサネット モジュール搭載の Cisco Nexus 7000/ 7700 シリーズ スイッチの Cisco NX-OS ソフトウェアにおける Locator/ID Separation Protocol(LISP)の脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。

    この脆弱性は、不正な LISP パケット ヘッダーを受信する際、入力が適切に検証されないことに起因します。 攻撃者は、UDP ポート 4341 に不正な LISP パケットを送信することによって、本脆弱性を不正利用する可能性があります。 不正利用によって、サービス妨害(DoS)状態が引き起こされる可能性があります。

    シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。

    このアドバイザリは、次のリンクより確認できます。

      http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-lisp

    このアドバイザリは、2016 年 3 月 23 日に公開された 6 件の脆弱性に関する 6 つの Cisco Security Advisory を含む Cisco IOS ソフトウェアおよび IOS XE ソフトウェアのセキュリティ アドバイザリ バンドルの一部です。このすべての脆弱性はセキュリティへの影響が「高」と評価されています。これらのアドバイザリとリンクの一覧については、 Cisco Event Response: Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication を参照してください。

  • 脆弱性が存在する製品

    Cisco IOS ソフトウェアを実行する Cisco Catalyst 6500/6800 シリーズ スイッチ、および M1 シリーズ ギガビット イーサネット モジュールを搭載し、Cisco NX-OS ソフトウェアを実行する Cisco Nexus 7000/7700 シリーズ スイッチは、LISP が設定されている場合に、この脆弱性の影響を受けます。どのプラットフォームでも LISP はデフォルトで無効になっています。

    脆弱性が存在する Cisco IOS ソフトウェアおよび NX-OS ソフトウェアのリリースについての詳細は、このアドバイザリの「修正済みソフトウェア」の項を参照してください。

    Cisco Catalyst 6500 および 6800 シリーズ スイッチ

     LISP のサポートはリリース 15.1(1)SY1 で初めて導入されました。 LISP がデバイスに設定されているかどうかを確認するには、 show running-config | include lisp コマンドを使用し、次の例に示すように  router lisp が設定されているかどうかを確認します。 

    iosRouter# show running-config | include lisp
    
router lisp
    Cisco IOS ソフトウェア リリースの判別

    シスコ製品上で動作している Cisco IOS ソフトウェア リリースについては、管理者がデバイスにログインして show version コマンドを発行し、システム バナーを表示することで判別できます。デバイスが Cisco IOS ソフトウェアを実行している場合、システム バナーに「 Cisco Internetwork Operating System Software」や「 Cisco IOS Software」などが表示されます。カッコ内にイメージ名が表示され、その後ろに、Cisco IOS ソフトウェアのリリース番号とリリース名が続きます。

    次に、Cisco IOS ソフトウェア リリースが 15.2(1)SY1 で、インストールされたイメージ名が c6880x-ADVENTERPRISEK9-M であるシスコ製品の例を示します。 

    iosRouter# show version
    Cisco IOS Software, c6880x Software (c6880x-ADVENTERPRISEK9-M), Version 15.2(1)SY1, RELEASE SOFTWARE (fc5)
    Technical Support: http://www.cisco.com/techsupport
    Copyright (c) 1986-2015 by Cisco Systems, Inc.
    Compiled Mon 11-May-15 00:26 by prod_rel_team
    .
    .
    .
    Cisco IOS ソフトウェア リリースの命名規則に関する詳細は、『 White Paper: Cisco IOS and NX-OS Software Reference Guide』を参照してください。

    Nexus 7000 および 7700 シリーズ スイッチ 
    Nexus 7000 および 7700 シリーズ スイッチでは、ソフトウェア リリース 5.2(1) で LISP のサポートが追加されました。 LISP が設定された Nexus 7000/7700 シリーズ スイッチは、LISP のパケットが M1 シリーズ ギガビット イーサネット モジュールに入力された場合にのみ脆弱性の影響を受けます。M1 モジュールが Nexus 7000 シャーシに搭載されているかどうかを確認するには、次の例に示す show module | include M1 コマンドを使用します。 

    nxosRouter# show module | include M1
    
3    48     10/100/1000 Mbps Ethernet XL Module N7K-M148GT-11L     powered-up
    M1 シリーズ ギガビット イーサネット モジュールが搭載されている場合、このモジュールに設定されたインターフェイスに LISP パケットが入力された場合のみ脆弱性の影響を受けます。LISP 機能が有効化されているかを確認するには、次の例のように、 show feature | include lisp コマンドを使用します。 

    nxosRouter# show feature | include lisp
    
lisp                  1         enabled
    show ip lisp コマンドを使用すると、M1 インターフェイスの LISP 設定を確認できます。 

    nxosRouter# show ip lisp 
    
LISP IP Configuration Information for VRF "default" (iid 1)
    
  Ingress Tunnel Router (ITR):enabled
    
  Egress Tunnel Router (ETR):disabled
    
  Proxy-ITR Router (PTR):disabled
    
  Proxy-ETR Router (PETR):disabled
    
  Map Resolver (MR):disabled
    
  Map Server (MS):disabled
    
  LISP Multicast:disabled
    
.
    .
    .
    Nexus 7000/7700 シリーズ スイッチの LISP 設定についての詳細は、 Configuring Locator/ID Separation Protocol を参照してください。 

    Cisco NX-OS ソフトウェア リリースの判別

    Cisco Nexus 7000 シリーズ スイッチで動作している Cisco NX-OS ソフトウェア リリースについては、管理者がデバイスにログインして  show version コマンドを使用することで判別できます。 次の例では、6.2(14) リリースを示しています。 

    nxosRouter# show version
    
    Cisco Nexus Operating System (NX-OS) Software
    
TAC support: http://www.cisco.com/tac
    
Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
    
Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved.
    
The copyrights to certain works contained in this software are
    
owned by other third parties and used and distributed under
    
license. Certain components of this software are licensed under
    
the GNU General Public License (GPL) version 2.0 or the GNU
    
Lesser General Public License (LGPL) Version 2.1. A copy of each
    
such license is available at
    
http://www.opensource.org/licenses/gpl-2.0.php and
    
http://www.opensource.org/licenses/lgpl-2.1.php

    
Software
    
  BIOS:      version 2.12.0
    
  kickstart: version 6.2(14)
    
  system:    version 6.2(14)
    .
    .
    .

    :次の シスコ M1 シリーズ ギガビット イーサネット モジュール シリーズは Cisco NX-OS リリース 7.3(0)D1(1) 以降ではサポートされなくなりました。

    • N7K-M148GT-11
    • N7K-M132XP-12
    • N7K-M148GS-11
    詳細については、 『 Cisco Nexus 7000 Series NX-OS Release Notes, Release 7.3』の「 Unsupported Hardware」の項を参照してください。

    脆弱性が存在しない製品

    他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

    シスコは、この脆弱性が Cisco IOS-XR および Cisco IOS-XE には影響を与えないことを確認しました。

    Cisco 7600 シリーズ ルータはこの脆弱性の影響を受けません。

  • LISP ネットワーク アーキテクチャおよびプロトコルは、エンド ホストに割り当てられたエンドポイント ID(EID)と、グローバル ルーティング システムを構成するデバイス(主にルータ)に割り当てられたルーティング ロケータ(RLOC)という 2 つの新しい名前空間を作成することによって IP アドレッシングの新しいセマンティックを実装します。EID と RLOC の機能を分割することによって、ルーティング システムのスケーラビリティ、マルチホーミングの効率、および入力トラフィック エンジニアリングが向上します。LISP のエンド サイト サポートは、シスコ ルータなどのデバイス上に設定されます。この脆弱性は、LISP パケットが該当するインターフェイスの入力となるよう設定されているすべての LISP タイプに存在します。

    Cisco Catalyst 6500/6800 シリーズ スイッチ、および M1 シリーズ ギガビット イーサネット モジュールを搭載した Cisco Nexus 7000/7700 シリーズ スイッチは共通の ASIC を使用しており、この ASIC が不正な LISP パケットを受信したときにクラッシュする可能性があります。この脆弱性を不正利用するには、LISP パケットは LISP のウェルノウン ポート番号である UDP ポート番号 4341 に送信されること、UDP LISP ヘッダーが不正であること、およびヘッダー長が正しくないことが必要です。

    Cisco Catalyst 6500 および 6800 シリーズ スイッチでは、この脆弱性の結果、デバイスの完全なリロードが発生します。M1 シリーズ ギガビット イーサネット モジュールを搭載した Cisco Nexus 7000 および 7700 シリーズ スイッチでは、M1 モジュール自体はリロードしますが、シャーシの他の部分は安定状態を保ちます。

  • Cisco Catalyst 6500 および 6800 シリーズ スイッチでは、この脆弱性が不正利用されると、デバイスに EARL Recovery パッチ エラー(EARL Recovery Patch errors)の リセット理由によるリロードが引き起こされます。 

     M1 シリーズ ギガビット イーサネット モジュールを搭載した Cisco Nexus 7000 および 7700 シリーズ スイッチでは、この脆弱性により、M1 モジュールに致命的割り込みメトロポリス デバイス エラー(Fatal Interrupt Metropolis device error)のリセット理由によるリロードが引き起こされます。

    Cisco Technical Assistance Center(TAC)はデバイスがこの脆弱性の影響を受けたかどうかを判別するため、システム ログ ファイルを確認する必要があります。

  • この脆弱性に対処する回避策はありません。

  • シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。
    http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html

    また、お客様がソフトウェアをダウンロードできるのは、シスコから直接、あるいはシスコ認定リセラーまたはパートナーからそのソフトウェアの有効なライセンスを取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。

    ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

    いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

    サービス契約をご利用でないお客様

    シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。
    http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

    無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。


    Cisco IOS ソフトウェア

    お客様が Cisco IOS ソフトウェアの脆弱性による侵害の可能性を判断するため、シスコは Cisco IOS Software Checker ツールを提供しています。このツールを使用すると、特定の Cisco IOS ソフトウェア リリースに該当するシスコ セキュリティ アドバイザリ、および各アドバイザリで説明されている脆弱性が修正された最初のリリース(「First Fixed」)を特定できます。また該当する場合、すべてのアドバイザリに記載されたすべての脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。

    このツールを使用して次のタスクを実行できます。

    • ドロップダウン メニューからリリース(複数可)を選択するか、分析対象となるローカル システムからファイルをアップロードして、検索を開始する
    • show version コマンドの出力をツールで解析する
    • カスタマイズした検索(過去に公開されたすべてのシスコ セキュリティ アドバイザリを検索対象に入れたり、特定のアドバイザリのみ、または最新のバンドル資料のすべてのアドバイザリを含めるなど)を作成する

    リリースが、公開されたシスコ セキュリティ アドバイザリのいずれかに該当するかどうかを確認するには、Cisco.com の Cisco IOS Software Checker を使用するか、以下のフィールドに Cisco IOS ソフトウェア リリース—(たとえば、15.1(4)M2 など)—を入力します。



    Cisco NX-OS ソフトウェア

    この脆弱性は、ソフトウェア バージョン 7.3(0)D1(1) で修正されました。Cisco Nexus 7000 および Nexus 7700 シリーズ ソフトウェアは、Cisco.com の Software Center( http://www.cisco.com/cisco/software/navigator.html )で [ダウンロードホーム(Downloads Home)] > [製品(Products)] > [スイッチ(Switches)] > [データセンタースイッチ(Data Center Switches)] > [Nexus 7000シリーズスイッチ(Nexus 7000 Series Switches)] を選択してダウンロードできます。

  • Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

  • この脆弱性は、Cisco TAC によって処理されたカスタマー ケースの解決中に発見されました。



  • Version Description Section Status Date
    1.0 Initial public release. Final 2016-March-23


  • 本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。

    本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ