日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
IOSバージョン11.2Pで導入されたIOSファイアウォール機能セット(Cisco Secure Integrated Software、別名Context Based Access Control(CBAC))には、通常はダイナミックアクセスコントロールリストによって拒否されると想定されるトラフィックを許可する脆弱性が存在します。
この脆弱性は、Cisco Bug ID CSCdv48261に記載されています。
脆弱性が存在する他のシスコ製品はありません。
回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20011128-ios-cbac-dynaclで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性に該当するのは、CBACを実装している設定だけです。該当する設定では、ルータの設定に「ip inspect」という行が含まれています。次に例を示します。
ip inspect name rule1 udp ip inspect name rule1 tcp ! ! interface FastEthernet0/1 ip address 1.2.3.4 255.255.255.0 ip inspect rule1 in duplex auto speed auto !
次の例のように、ソフトウェアにIOS Firewall機能セットが含まれている場合、show versionコマンドで使用できるルータイメージのファイル名のハイフンの間に「o」が付きます。
Router>show version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-IO3-M), Version 12.1(5)T, RELEASE SOFTWARE (fc1) (the rest is truncated)
この例では、イメージファイル名はc2600-io3-mです。名前に「o」が含まれているため、このイメージはCBACをサポートできます。Cisco IOSイメージIDの詳細については、http://www.cisco.com/warp/public/620/1.html#t16でドキュメントを参照してください。影響を受ける主なCisco IOSトレインは次のとおりです。
-
11.2P
-
11.3T
-
12.0、12.0T
-
12.1、12.1T、12.1E
-
12.2、12.2T
これらのリリースに加えて、複数のEarly Deployment(ED)(Xリリースとも呼ばれる)が影響を受けます。完全なリストは、このアドバイザリの「ソフトウェアバージョンと修正」セクションに記載されています。
該当するハードウェアモデルは次のとおりです。
-
800、820、950、1400、1600、1700、2500、2600、3600、4000ゲートウェイ、4224、7100、7200、7400、7500、SOHO 70、ubr900、ICS77 0.
-
Catalyst 5000および6000(Cisco IOSソフトウェアを実行している場合)
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco IOS Firewallはパケット検査システムです。これはステートフルシステムでもあります。単一パケットのライフタイムを超えて続く接続に関する情報を保持します。CBACはIPのみの機能です。CBACを実行しているルータは、Transmission Control Protocol(TCP;伝送制御プロトコル)、User Datagram Protocol(UDP;ユーザデータグラムプロトコル)、およびいくつかの上位層プロトコルを認識し、IPヘッダーを越えたパケットデータを検査します。設定されている場合、CBACは検査されたパケットに基づいてセッション情報を維持します。
保護されたネットワークからセッションが開始されると、CBACはそのセッションのリターントラフィックを許可するダイナミックアクセスリストエントリを作成します。ダイナミックアクセスリストを介したリターントラフィックの検査時に、送信元と宛先のアドレスとポートがチェックされますが、IPプロトコルタイプはチェックされません。これにより、異なるプロトコルタイプのパケットが保護されたネットワークに入り込む可能性があります。
この脆弱性は、Cisco Bug ID CSCdv48261に記載されています。
回避策
回避策はありません。
修正済みソフトウェア
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリースと、各リリースの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。特定の列のリリースより前(最も古い修正済みリリースより前)のリリースをトレインで実行しているデバイスは、脆弱であることが確認されています。リリースは、少なくとも指定されたリリース以降のバージョン(最も古い修正済みリリースラベルより大きい)にアップグレードする必要があります。リリースを選択するときは、次の定義を念頭においてください。
-
Maintenance:テストを重ね、推奨される、表の特定の行にあるラベルのリリース。
-
再構築- 同じリリース群の以前のメンテナンス リリースまたはメジャー リリースから構築されたリリース。特定の障害に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。
-
暫定- メンテナンス リリース間に定期的に構築されるリリース。厳密なテストは実施されていません。暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、CCOからダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次のセクションに示すように、Cisco TACに連絡して支援を求めてください。
Cisco IOSのリリース名と省略形の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
11.xベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
11.2P |
初期導入:プラットフォームが限られている |
12.0へのサポート終了アップグレードを推奨 |
||
|
11.3T |
12.0へのサポート終了アップグレードを推奨 |
|||
|
12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.0 |
すべてのプラットフォーム向けの一般導入リリース |
12.0(20.3) 2001年11月26日に入手可能 |
12.0(21) 2002年1月7日に入手可能 |
|
|
12.0T |
初期導入:さまざまなプラットフォーム |
12.1へのアップグレードはスケジュールされていません。 |
||
|
12.0XA |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XB |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XC |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XD |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XE |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XG |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XI |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XK |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XM |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XQ |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XR |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.0XV |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.1 |
すべてのプラットフォーム向けの限定導入リリース |
12.1(11a) |
12.1(11.1) |
12.1(12) 2001年12月3日に入手可能 |
|
12.1E |
コア/ISPサポート:GSR、RSP、c7200 |
12.1(9.6)E |
12.1(10)E |
|
|
12.1E |
Catalyst 6000 |
12.1(8a)E5 |
||
|
12.1T |
Early Deployment(ED):VPN、Distributed Director、各種プラットフォーム |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XB |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YB1へのアップグレードは推奨されません。 |
||
|
12.1XC |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XF |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(2)XF5が2002年1月に入手可能 |
||
|
12.1XG |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(3)XG6(2002年1月提供開始) |
||
|
12.1XH |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XI |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XJ |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YBへのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XK |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XL |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2へのEnd of Engineering(EOE)アップグレードを推奨 |
||
|
12.1XM |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)XM6(2001年12月に入手可能) |
||
|
12.1XP |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2Tへの移行は推奨されない |
||
|
12.1XT |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2Tへの移行は推奨されない |
||
|
12.1YB |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YB5 2002年1月提供開始 |
||
|
12.1YC |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YC2 2002年1月提供開始 |
||
|
12.1YE |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YE4 |
||
|
12.1YF |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.1(5)YF3 2001年11月提供開始 |
||
|
12.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.2 |
各種プラットフォーム向けの限定導入リリース |
12.2(5.7) |
12.2(6) 2001年11月12日に入手可能 |
|
|
12.2DD |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(4)Bへのアップグレードは推奨されません。 |
||
|
12.2T |
各種プラットフォーム向けEarly Deploymentリリース |
12.2(5.7)T |
12.2(8)T(2002年2月28日に入手可能) |
|
|
12.2XD |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XD3 2002年1月提供開始 |
||
|
12.2XE |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(1)XE2 2002年1月提供開始 |
||
|
12.2XH |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XH2 2002年1月提供開始 |
||
|
12.2XI |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XI1 2002年1月提供開始 |
||
|
12.2XJ |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XJ1 2002年1月提供開始 |
||
|
12.2XK |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XK5 2002年1月提供開始 |
||
|
12.2XQ |
一部のプラットフォーム向けのEarly Deployment(ED) |
12.2(2)XQ2 2002年1月提供開始 |
||
|
注意事項 |
||||
|
日付はすべて予定であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 |
||||
推奨事項
不正利用事例と公式発表
この脆弱性はお客様によって発見されました。このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
URL
改訂履歴
|
リビジョン 1.3 |
2006年7月13日 |
12.2ベースのリリースに関する修正済みソフトウェアテーブル。 |
|
リビジョン 1.2 |
2002年1月2日 |
リリース12.2Tのソフトウェア情報表に、2002年2月28日のリリース日が追加されました。また、次のリリースバージョンを12.2(8)Tに変更しました。リビルドがないため、リビルドのバージョンを削除。 |
|
リビジョン 1.1 |
2001-November-29 |
修正済みリリースの表では、12.2Tの行で、メンテナンスリリース12.2(7)TにTが追加されています。 |
|
リビジョン 1.0 |
2001-November-28 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。