High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Catalyst 6800 シリーズ スイッチの Cisco IOS ソフトウェアの仮想プライベート LAN サービス(VPLS)のコードには脆弱性があり、認証されていない近接の攻撃者により、C6800-16P10G または C6800-16P10G-XL のタイプのライン カードのクラッシュが引き起こされ、その結果、Denial of Service(DoS)の状態が発生する可能性があります。
この脆弱性は、該当するソフトウェアにおけるメモリ管理の問題に起因します。 攻撃者が、該当するデバイスの MAC アドレス テーブルに、VPLS で生成された大量の MAC エントリを作成することで、この脆弱性を不正利用する可能性があります。 不正利用に成功すると、攻撃者により C6800-16P10G または C6800-16P10G-XL のタイプのライン カードのクラッシュが引き起こされ、その結果、DoS 状態が発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。 この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-vpls
このアドバイザリは、2017 年 9 月 27 日に公開された 13 件の脆弱性に関する 12 件のシスコ セキュリティ アドバイザリを含む Cisco IOS ソフトウェアおよび IOS XE ソフトウェア リリースのセキュリティ アドバイザリ バンドルの一部です。 これらのアドバイザリとリンクの一覧については、以下を参照してください。シスコのイベント対応: Cisco IOS および IOS XE ソフトウェアに関するセキュリティ アドバイザリ公開資料(半年刊、2017 年 9 月)
該当製品
脆弱性のある製品
この脆弱性は、脆弱なリリースの Cisco IOS ソフトウェアを実行し、シスコの C6800-16P10G または C6800-16P10G-XL ライン カードを搭載して Supervisor Engine 6T で使用できるようにしている Cisco Catalyst 6800 シリーズ スイッチに影響を及ぼします。 この脆弱性の対象となるのは、デバイスで VPLS が設定されており、C6800-16P10G または C6800-16P10G-XL ライン カードが MPLS のコア側インターフェイスである場合です。
脆弱性が存在する Cisco IOS ソフトウェア リリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
デバイスが VPLS のために設定されるかどうか判別するために、管理者は CLI で提示 vfi privileged exec コマンドを使用できます。 次の例は値の上の VFI 状態によって示されるように VPLS で設定され、アクティブ回路を備えているデバイスのためのコマンドの出力を、示したものです:
VFI name: VPLS-2, state: up VPN ID: 100 Local attachment circuits: Vlan2 Neighbors connected via pseudowires: Peer Address VC ID Split-horizon 10.1.1.1 2 Y
デバイスで VPLS が構成されていない場合は、異なる出力が返されます。
Cisco IOS ソフトウェア リリースの判別
デバイス上で実行されている Cisco IOS ソフトウェア リリースは、管理者がデバイスにログインして、CLI で show version コマンドを使用し、表示されるシステム バナーを参照することにより確認できます。 デバイスが Cisco IOS ソフトウェアを実行している場合、システム バナーに「Cisco Internetwork Operating System Software」や「Cisco IOS Software」などのテキストが表示されます。 バナーにはインストールされたイメージ名もカッコ内に表示され、その後ろに、Cisco IOS ソフトウェアのリリース番号とリリース名が表示されます。 一部のシスコ デバイスでは、show version コマンドをサポートしていなかったり、別の出力が表示されたりします。
次に、Cisco IOS ソフトウェア リリース 15.5(2)T1 が実行されていて、インストールされているイメージ名が C2951-UNIVERSALK9-M であるデバイスでのコマンド出力例を示します。
Router> show version Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2015 by Cisco Systems, Inc. Compiled Mon 22-Jun-15 09:32 by prod_rel_team . . .
Cisco IOS ソフトウェア リリースの命名と番号付けの規則については、以下を参照してください。ホワイト ペーパー: Cisco IOS および NX-OS ソフトウェア リファレンス ガイド
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
シスコは、この脆弱性が Cisco IOS XE ソフトウェア、Cisco IOS XR ソフトウェア、Cisco NX-OS ソフトウェアには影響を与えないことを確認しました。
セキュリティ侵害の痕跡
この脆弱性が不正利用されると、ライン カードのクラッシュが発生し、次のエラーがログに記録されます。
%SYS-DFC1-6-STACKLOW: Stack for process earl_ntfy_dm_thread running low, 0/26000
現在のプロセス スタックの crashinfo ファイル、earl_ntfy_dm_thread 値および出力は比較するとき、使用されるバイトが利用可能 な バイトと等しいことを示すかもしれません。 次の例では、この脆弱性が不正利用された後に生成されたライン カードの crashinfo ファイルを示します。
513E.E.36-6800-3#$crashinfo_20120131-140600-UTC | begin "earl_ntfy_dm_thread
Pid 375: Process "earl_ntfy_dm_thread "
stack 0x1CCCDA7C savedsp 0x121C8A34
Flags: analyze prefers_new process_arg_valid
<output omitted>
PC : 088827A8 MSR: 00029200
---- Current Process Stack (0x6590 bytes used, out of 0x6590 available) ----
回避策
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。 お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロードする、または、アクセスしたり、その他の方法で使用する場合、お客様は以下のリンクに記載されたシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。 通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。 無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、Cisco Security Advisories and Alerts ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco IOS ソフトウェア
お客様が Cisco IOS ソフトウェアの脆弱性による侵害の可能性を判断できるよう、シスコでは Cisco IOS Software Checker ツールを提供しています。このツールにより、特定の Cisco IOS ソフトウェア リリースに該当するシスコ セキュリティ アドバイザリ、および各アドバイザリで説明されている脆弱性が修正された最初のリリース(「First Fixed」)を特定できます。 また該当する場合、そのリリースに関するすべてのアドバイザリの脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用して次のタスクを実行できます。
- ドロップダウン メニューからリリース(複数可)を選択するか、分析対象となるローカル システムからファイルをアップロードして、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索(過去に公開されたすべてのシスコ セキュリティ アドバイザリを検索対象に入れたり、特定のアドバイザリのみ、または最新のバンドル資料のすべてのアドバイザリを含めるなど)を作成する
リリースが、公開されたシスコ セキュリティ アドバイザリのいずれかに該当するかどうかを確認するには、Cisco.com の Cisco IOS Software Checker を使用するか、以下のフィールドに Cisco IOS ソフトウェア リリース(たとえば、15.1(4)M2 など)を入力します。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
この脆弱性は、お客様のサポート要求の対応中に発見されました。
URL
改訂履歴
バージョン | 説明 | セクション | ステータス | Date |
---|---|---|---|---|
1.0 | 初回公開リリース | — | 最終版 | 2017 年 9 月 27 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。