Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Firepower 2 ポート 100G 2倍の幅のネットワークモジュール(PID との Cisco Firepower 9000 シリーズ用の Field Programmable Gate Array (FPGA) 入力 バッファ 管理の脆弱性: FPR9K-DNM-2X100G は)非認証、隣接した攻撃者によりサービス拒否 (DoS)状態を引き起こすことを可能にする可能性があります。 デバイスが正常な動作を回復する前に手動操作の介入が必要となるかもしれません。
脆弱性はインプットパケットの異なる型の処理に関する FPGA の論理エラーが原因です。 攻撃者は隣接したサブネットのあることおよび影響を受けたデバイスの特定のインターフェイスへインプットパケットの巧妙に細工された シーケンスを送信 することによってこの脆弱性を不正利用する可能性があります。 正常なエクスプロイトは攻撃者によりインターフェイスのキュー ウェッジ条件を引き起こすことを可能にする可能性があります。 ウェッジが発生する場合、影響を受けたデバイスは Wedged Interface で受信される追加パケットを処理することを止めます。
この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-firpwr-dos
該当製品
脆弱性のある製品
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性が存在する製品のセクションにリストされている製品だけ既知この脆弱性によって影響されるためにである。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- Firepower 2100 シリーズ
- Firepower 4100 シリーズ
セキュリティ侵害の痕跡
この脆弱性が不正利用されるデバイスで、入力 廃棄か overrrun インターフェイス カウンタは指数関数的に増加します。 管理者はこの条件があるように CLI で show interface コマンドを使用することによって確認できます。 1 つのまたは両方のカウンターが増分するとき、これはトラフィックがインターフェイスで処理されていないというしるしです。
デバイスはこの状態をクリアするためにリブートされる必要がある場合もあります。 詳細事項に関しては Cisco Technical Assistance Center (TAC)に連絡して下さい。Fp9000(fxos)# show interface eth2/1 Ethernet2/1 is up Dedicated Interface Hardware: 100000 Ethernet, address: 70db.9819.a7b4 (bia 70db.9819.a7b4) Description: U: Uplink . . . RX 0 unicast packets 425 multicast packets 0 broadcast packets 425 input packets 57370 bytes 0 jumbo packets 0 storm suppression bytes 0 runts 0 giants 0 CRC 0 no buffer 0 input error 0 short frame 0 overrun 0 underrun 0 ignored 0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop 0 input with dribble 425 input discard 0 Rx pause
回避策
この脆弱性に対処する回避策はありません。
修正済みソフトウェア
この脆弱性は FPGA ファームウェアへのアップグレードによって解決されます。 顧客は 4100/9300 の FXOS CLI コンフィギュレーション ガイド Cisco Firepower のファームウェアアップグレード セクションで説明されているプロシージャに従うように勧告されます。
このプロシージャは FXOS ソフトウェア リリース 2.2.2 または それ 以降のためにはたらきます。 以前のリリースの顧客はソフトウェア リリース 2.2.2 (またはそれ以降)にアップグレードするまたは支援に関しては Cisco TAC に連絡する必要があります。
ソフトウェアのアップグレードを検討する際には、Cisco Security Advisories and Alerts ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
この脆弱性は、Cisco TAC のサポート ケースの解決中に発見されました。
URL
改訂履歴
バージョン | 説明 | セクション | ステータス | Date |
---|---|---|---|---|
1.0 | 初回公開リリース | — | 最終版 | 2019-February-20 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。