日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco 12000シリーズルータでは、大量のICMP到達不能パケットを送信する必要があると、パフォーマンスが低下する場合があります。この状況は、通常、ネットワークのスキャンが大量に行われている間に発生する可能性があります。この脆弱性は、CSCdr46528(登録ユーザ専用)、CSCdt66560(登録ユーザ専用)、およびCSCds36541(登録ユーザ専用)の3つのBug IDで追跡されています。各バグIDは、ラインカードのベースとなる異なるエンジンに割り当てられます。
その他のCiscoルータおよびスイッチは、この脆弱性の影響を受けません。これはCisco 12000シリーズに固有です。
脆弱性が存在する他のシスコ製品はありません。
この問題を回避するには、ルータが到達不能なInternet Control Message Protocol(ICMP;インターネット制御メッセージプロトコル)を送信しないようにするか、またはICMPをレート制限します。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20011114-gsr-unreachableで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性の影響を受けるのは、Cisco 12000シリーズインターネットルータのみです。他のルータやスイッチは影響を受けません。Cisco 12000シリーズのすべてのラインカードがこの脆弱性の影響を受けるわけではありません。この脆弱性は、個々のラインカードの基盤となるテクノロジーに存在します。その技術は「エンジン」と呼ばれています。現在、シスコでは、0、1、2、3、4の各エンジンに基づくラインカードを出荷しています。
カードがベースとしているエンジンを判別するには、Cisco 12000ルータにログオンし、イネーブルモードでshow diagコマンドを発行する必要があります。エンジンタイプはL3 Engine: x と表示されます。ここで、x は対応する番号です。
次の例は、エンジン2ベースのラインカードの出力を示しています。
c12000#show diag SLOT 1 (RP/LC 1 ): 1 Port Packet Over SONET OC-48c/STM-16 Single Mode/SR SC-SC connector MAIN: type 41, 800-5271-01 rev A0 dev 0 HW config: 0x04 SW key: 00-00-00 PCA: 73-3295-05 rev A0 ver 5 HW version 1.1 S/N SDK034004AY MBUS: Embedded Agent Test hist: 0x00 RMA#: 00-00-00 RMA hist: 0x00 DIAG: Test count: 0x00000000 Test results: 0x00000000 L3 Engine: 2 - Backbone OC48 (2.5 Gbps) ^^^^^^^^^^^^ <- Note the engine type [further output truncated]
エンジン0、1、および2に基づくすべてのラインカードに脆弱性が存在します。Engine 3および4ベースのラインカードは該当しません。
次の表に、特定の問題に対して脆弱なCisco IOS®ソフトウェアリリースを示します。
|
DDTS |
12.0S |
12.0ST |
|---|---|---|
|
CSCdr46528(登録ユーザ専用) |
Vulnerable |
Vulnerable |
|
CSCds36541(登録ユーザ専用) |
Vulnerable |
Vulnerable |
|
CSCdt66560(登録ユーザ専用) |
Vulnerable |
Vulnerable |
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
宛先への有効なパスがない場合、またはパケットをNull0インターフェイスにルーティングする必要がある場合、受信したパケットはドロップされます。パケットは、高速ドロップ(エンジン0ラインカード)またはハードウェアドロップ(その他すべての特定用途向け集積回路(ASIC)ベースの転送ラインカード)のいずれかになります。Cisco 12000の高速およびハードウェアドロップ機能を考えると、ルータの機能に影響を与えずに、大量のトラフィックをドロップできます。パケットがドロップされるたびに、ルータはICMP到達不能パケットを送信元に送り返す必要があります。これはインターネット標準によって義務付けられています。
ICMP到達不能の応答を必要とする大量のトラフィックがルータに送信されると、応答の処理によってCPUが飽和状態になる可能性があります。この状態は、ルータが「ブラックホール」フィルタリングを行っているとき、ネットワークのデフォルトパスとして送信されたパケットが廃棄されたとき、またはルータに対する直接のサービス拒否(DOS)によって送信されたパケットが廃棄されたときに発生する可能性があります。「ブラックホール」フィルタリングについての詳細は、「すべてのISPが考慮すべき重要なIOS機能」の「パケットフィルタとしてのブラックホールルーティング」セクションを参照してください。
次の表に、脆弱性とラインカードがベースとするエンジンの関係を示します。
|
DDTS |
エンジン 0 |
エンジン 0 |
Engine 2 |
Engine 4 |
|---|---|---|---|---|
|
0.CSCdr46528 |
Vulnerable |
|||
|
0.CSCds36541 |
Vulnerable |
|||
|
0.CSCdt66560 |
Vulnerable |
回避策
この問題には 2 つの回避策があります。1つ目は、ルータがICMP到達不能メッセージを送信しないようにすることです。この動作は、no ip unreachablesコマンドによって制御されます。このコマンドは、次の例のように、インターフェイスに適用する必要があります。
router(config)#interface ethernet 0 router(config-if)#no ip unreachables
送信されるICMP到達不能パケットの数をレート制限することで、問題を緩和できます。次に例を示します。
router(config)#ip icmp rate-limit unreachable n
nは、2つの連続するICMP到達不能パケット間のミリ秒数です。デフォルト値は 500 です。つまり、500ミリ秒ごとに1つのICMP到達不能パケットが送信されます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリースとそれぞれの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に示されます。特定の列のリリースより前(最初の修正リリースより前)のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン(最初の修正リリースのラベルより後)にアップグレードする必要があります。
リリースを選択するときは、次の定義を念頭においてください。
メンテナンス
表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。
リビルド
同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定リリースは、脆弱性に対処する適切なリリースが他にない場合にのみ選択し、暫定イメージは、次に利用可能なメンテナンスリリースにできるだけ早くアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、CCOからダウンロードできません。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
脆弱性CSCdr46528 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(16)S1 |
12.0(16.5)S |
12.0(17)S |
|
12.0ST |
Cisco IOSソフトウェアリリース12.OSTは、サービスプロバイダー(ISP)向けのCisco 7200、7500/7000RSP、および12000(GSR)シリーズルータ用のEarly Deployment(ED)リリースです。 |
12.0(15.6)ST3 |
12.0(16.5)ST |
12.0(16)第 |
|
脆弱性CSCds36541 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(13.6)S2 |
12.0(14.1)S |
12.0(14)S |
|
12.0ST |
Cisco IOSソフトウェアリリース12.OSTは、サービスプロバイダー(ISP)向けのCisco 7200、7500/7000RSP、および12000(GSR)シリーズルータ用のEarly Deployment(ED)リリースです。 |
12.0(14.3)ST |
||
|
脆弱性CSCdt66560 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(16)S1 |
12.0(16.6)S |
12.0(17)S |
|
注意事項 |
||||
|
日付はすべて予定であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 |
||||
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
URL
改訂履歴
|
リビジョン 1.2 |
2006年11月6日 |
ブラックホールフィルタリングに対するURLを修正。 |
|
リビジョン 1.1 |
2001-Nov-15 |
「影響を受ける製品」セクションと「ソフトウェアバージョンと修正」セクションのテーブルエントリを変更。 |
|
リビジョン 1.0 |
2001-Nov-14 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。