日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS®ソフトウェアが稼働し、Internet Protocol version 4(IPv4)パケットを処理するように設定されているシスコのルータおよびスイッチは、サービス拒否(DoS)攻撃に対して脆弱です。特定のプロトコルフィールドを持つ複数のIPv4パケットがデバイスに直接送信されると、入力キューがいっぱいになると、入力インターフェイスでトラフィックの処理が停止する場合があります。デバイスを通過するトラフィックは、入力キューをブロックできません。着信パケットを処理するために認証は必要ありません。IPv4パケットの処理は、デフォルトで有効になっています。IPバージョン6(IPv6)のみを実行しているデバイスは影響を受けません。現在ソフトウェアのアップグレードが不可能な状況に対しては、ベストプラクティスの形で複数の有効な回避策を使用できます。
シスコでは、この問題を解決するために、ソフトウェアを無償で提供しています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030717-blockedで確認できます。
該当製品
脆弱性のある製品
この問題は、Cisco IOSソフトウェアを実行し、Internet Protocol version 4(IPv4)パケットを処理するように設定されているすべてのシスコデバイスに影響を与えます。これには、Cisco IOSソフトウェアを実行するルータ、スイッチ、およびラインカードが含まれます。Cisco IOSソフトウェアが稼働していないシスコデバイスは影響を受けません。インターネットプロトコルバージョン6(IPv6)のみを実行するデバイスは影響を受けません。
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または単に「IOS®」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.0(3)が稼働し、インストールされているイメージ名がC2500-IS-Lであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (TM)
2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
リリーストレインラベルは「12.0」です。
次の例は、IOSリリース12.0(2a)T1を実行し、イメージ名がC2600-JS-MZの製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOSバナーの詳細については、http://www.cisco.com/warp/public/620/1.html#3を参照してください。
Cisco ONS 15454 MLシリーズカードは、Cisco IOSソフトウェアを使用してレイヤ2およびレイヤ3機能を提供し、Cisco IOSソフトウェアのコマンドラインインターフェイスを介してプロビジョニングされます。Cisco ONS 15454ソフトウェアリリース4.0.0は、MLシリーズインターフェイスがブリッジ専用モードである場合を除き、脆弱性の影響を受けます。該当するのはMLシリーズカードだけで、ONS 15454コントローラプロセッサ(TCC/TCC+/TCC2)ではIOSが稼働していないため、この脆弱性の影響を受けません。
脆弱性を含んでいないことが確認された製品
詳細
Ciscoルータは、デフォルトでInternet Protocol version 4(IPv4)パケットを処理して受け入れるように設定されています。プロトコルタイプ53(SWIPE)、55(IPモビリティ、または77(Sun ND)、すべてが存続可能時間(TTL)値1または0、および103(Protocol Independent Multicast - PIM)のTTL値を持つCisco IOSデバイス上のプロセッサで処理されるIPv4パケットは、インターフェイス上の入力キューが満杯であると、デバイスに誤ってフラグ付けさせる可能性があります。フル入力キューは、デバイスがそのインターフェイスで着信トラフィックを処理することを停止し、デッドタイマーが原因でルーティングプロトコルがドロップする可能性があります。
PIMプロセスが実行されているルータは、プロトコルタイプ103のトラフィックの影響を受けません。このプロセスは、ルータのいずれかのインターフェイスでPIMが設定されたときに作成されます。PIMが有効なインターフェイスのインターフェイス設定には、ip pim dense-mode、ip pim sparse-mode、またはip pim sparse-dense-modeの3つのコマンドのいずれかが設定されます。入力キューがPIMパケットのみでブロックされているデバイスには、回避策のオプションが追加されている場合があります。このオプションについては、「回避策」のセクションを参照してください。
ブロックされたイーサネットインターフェイスでは、アドレス解決プロトコル(ARP)がデフォルトの時間である4時間後にタイムアウトし、トラフィックを処理できません。インターフェイスの入力キューをクリアするにはデバイスをリブートする必要があり、ユーザの介入がなければリロードは行われません。この攻撃はすべてのインターフェイスで繰り返され、ルータにリモートからアクセスできなくなる可能性があります。回避策が利用可能で、「回避策」セクションに記載されています。ATM、シリアル、およびPOSインターフェイスなど、他のタイプのインターフェイスも引き続き影響を受ける可能性がありますが、ARPは要因ではなくなりました。
シスコの脆弱性は、次の2つのBug IDに記載されています。CSCea02355(登録ユーザ専用):Cisco IOSソフトウェアを実行するすべてのCiscoルータに影響を与え、プロトコル53、55、および77に関する欠陥を文書化し、Bug ID CSCdi22941(登録ユーザ専用)で導入されています。CSCdz71127(登録ユーザ専用)は以前のコードリビジョンで導入されたもので、PIMが設定されていないデバイスのプロトコル103に対する入力キューの脆弱性が文書化されています。CSCdx02283(登録ユーザ専用)に対する修正が取り込まれたソフトウェアのバージョンには、脆弱性が存在します。
ブロックされた入力インターフェイスを特定するには、show interfacesコマンドを使用して、Input Queue行を探します。現在のサイズ(この場合は76)が最大サイズ(75)よりも大きい場合、入力キューはブロックされます。
show buffersコマンドを使用して、protフィールドを探します。次に2つの例を示します。
Router#show interface ethernet 0/0 Ethernet0/0 is up, line protocol is up Hardware is AmdP2, address is 0050.500e.f1e0 (bia 0050.500e.f1e0) Internet address is 172.16.1.9/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set, keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:41, output 00:00:07, output hang never Last clearing of "show interface" counters 00:07:18 Input queue: 76/75/1091/0 (size/max/drops/flushes); Total output drops: 0 !--- The 76/75 shows that this is blocked Router#show buffers input-interface serial 0/0 packet Buffer information for Small buffer at 0x612EAF3C data_area 0x7896E84, refcount 1, next 0x0, flags 0x0 linktype 7 (IP), enctype 0 (None), encsize 46, rxtype 0 if_input 0x6159D340 (FastEthernet3/2), if_output 0x0 (None) inputtime 0x0, outputtime 0x0, oqnumber 65535 datagramstart 0x7896ED8, datagramsize 728, maximum size 65436 mac_start 0x7896ED8, addr_start 0x7896ED8, info_start 0x0 network_start 0x7896ED8, transport_start 0x0 source: 10.0.0.1, destination: 192.168.10.10, id: 0xAAB8, ttl: 41, prot: 103 !--- prot: 103 is proof that this is one of the attack packets
回避策
シスコでは、IPv4パケットを処理するすべてのIOSデバイスで、アクセスコントロールリスト(ACL)を使用して、不要なトラフィックや、不正な送信元からルータ宛てに送信されたトラフィックをブロックするように設定することを推奨しています。これは複数の場所で実行できます。すべての方法を確認し、ネットワークに最適な組み合わせを使用することをお勧めします。この脆弱性の回避策として次のACLがリストされていますが、パフォーマンスに影響しない場合、これらの手法はベストプラクティスと見なされ、一時的な修正としてではなく、長期的な解決策として残される可能性があります。
ベストプラクティスでは、正規のトラフィックを、telnet、snmp、sshなどの管理プロトコルと、明示的に許可されたピアからの設定済みのルーティングプロトコルとして定義します。デバイス宛ての他のすべてのトラフィックは、入力インターフェイスでブロックする必要があります。ネットワークに入ってくるトラフィックも、インフラストラクチャデバイス宛の場合は、ネットワークエッジで慎重に評価し、フィルタリングする必要があります。ネットワークサービスプロバイダーは、ネットワークを通過する未知のトラフィックを許可する必要がある場合が多いですが、ネットワークインフラストラクチャを宛先とする同じトラフィックを許可する必要はありません。これらの推奨されるセキュリティのベストプラクティスの導入を支援する複数のホワイトペーパーが作成されています。
この脆弱性の不正利用によって現在ブロックされているインターフェイスを持つデバイスには、ACLによる回避策が適用される可能性があります。この回避策を適用した後、hold-queue <new value> inインターフェイスコマンドを使用して、入力キューの深さをデフォルトのサイズである75よりも大きくすることができます。これにより、インターフェイス上でトラフィックフローが許可されます。その後、都合の良いタイミングでデバイスをリロードし、ブロックされたパケットを解放します。
PIMパケットのみでブロックされたインターフェイスに対しては、回避策を適用した後にルータでPIMプロセスを有効にすると、ブロックされた入力キューからプロトコルタイプ103のパケットがクリアされる場合があります。プロトコルタイプ53、55、または77のパケットは入力キューからクリアされません。PIMが有効になっているデバイスは、プロトコル103パケットによる攻撃に対して脆弱ではありませんが、PIMを有効にするとプロトコル53、55、または77がブロックされず、パフォーマンスに影響を与える可能性があるため、この脆弱性の回避策としては推奨されません。
ACLは特定のプラットフォームにパフォーマンスの影響を与える可能性があるため、推奨される回避策を適用する際には注意が必要です。
トランジット ACL
次のアクセスリストは、特に攻撃トラフィックをブロックするように設計されています。攻撃トラフィックには、スプーフィングされた送信元アドレスが含まれている可能性があることに注意してください。このアクセスリストは、ネットワークの出入りにかかわらず、デバイスのすべてのインターフェイスに適用し、トポロジ固有のフィルタを含める必要があります。これには、ルーティングプロトコルトラフィック、管理プロトコル、および内部ネットワーク宛てのトラフィックのフィルタリングが含まれます。プロトコル103はProtocol Independent Multicast(PIM)であり、マルチキャストネットワークに広く導入されているアプリケーションです。PIMが有効なインターフェイスは、プロトコル103のトラフィックを悪用する脆弱性は見つかっていません。PIMトラフィックは、選択されたデバイスに許可される可能性があります。
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 deny 53 any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 103 any any
!--- insert any other previously applied ACL entries here
!--- you must permit other protocols through to allow normal
!--- traffic -- previously defined permit lists will work
!--- or you may use the permit ip any any shown here
access-list 101 permit ip any any
通過トラフィックをフィルタリングするACLを展開する前に、分類ACLを使用して、必要なpermit文を特定できます。分類ACLは、一連のプロトコルを許可するACLです。アクセスリストエントリのヒットカウンタを表示すると、必要なプロトコルを判断するのに役立ちます。パケットがゼロでカウントされているエントリは、おそらく必要ありません。分類アクセスリストについては、次のインフラストラクチャアクセスリストのリンクで詳しく説明します。
受信 ACL
分散プラットフォームでは、Cisco IOSソフトウェアバージョン12.0(21)S2(c12000)および12.0(24)S(c7500)以降では、受信パスアクセスリストがオプションになる場合があります。受信アクセス リストは、ルート プロセッサが有害なトラフィックの影響を受ける前に、そのトラフィックからデバイスを保護します。受信パスACLはネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。CPU 負荷がライン カード プロセッサに分散されるため、メイン ルート プロセッサの負荷を軽減させるのに役立ちます。ホワイトペーパー『GSR: Receive Access Control Lists』では、デバイスへの正当なトラフィックを識別して許可し、望ましくないパケットをすべて拒否するのに役立ちます。
http://www.cisco.com/warp/public/707/racl.html
インフラストラクチャ ACL
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護ACLのガイドラインと推奨される導入方法について説明しています。
修正済みソフトウェア
Cisco IOS ソフトウェア
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合は、修正を含む最初のリリースとそれぞれの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。場合によっては、特定のリリースのリビルドが計画されていない場合があります。この場合、「Not scheduled」というラベルが付きます。 特定の列のリリースより前(最初の修正リリースより前)のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン(最初の修正リリースのラベルより後)にアップグレードする必要があります。
リリースを選択するときは、次の定義を念頭においてください。
-
メンテナンス
表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。 -
リビルド
以前のメンテナンスリリースまたはメジャーリリースから同じトレインで構築されており、特定の脆弱性に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。シスコでは、この脆弱性に対処するためにメインライントレインのリビルドを数種類提供していますが、最新のメンテナンスリリースのみをメインライントレインで実行することを強く推奨します。 -
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定イメージは、脆弱性に対処する適切なリリースが他にない場合にのみ選択し、可能な限り早急に次のメンテナンスリリースにアップグレードする必要があります。暫定リリースは製品としては提供されず、通常は、Cisco Technical Assistance Center(TAC)によって事前に手配されない限り、CCO からダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次の表に示すように、Cisco TACに連絡して支援を求めてください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正済みリリースの入手可能性 |
||
|---|---|---|---|---|
|
10.xベースのリリース |
スケジュールなし |
|||
|
11.xベースのリリース |
リビルド |
Interim |
メンテナンス |
|
|
11.0 |
スケジュールなし – 11.1以降に移行 |
|||
|
11.1 |
11.1(24c)** |
|||
|
11.1AA |
11.1(20)AA5 |
|||
|
11.1CA |
11.1(36)CA4** |
|||
|
11.1CC |
11.1(36)CC7 |
|||
|
11.2 |
11.2(15b)** 11.2(26e)** |
|||
|
11.2P |
11.2(17)P1** 11.2(20)P1** 11.2(26)P5** |
|||
|
11.2SA |
Catalyst 2900XL 4MB |
|||
|
11.3 |
11.3(11d) |
|||
|
11.3T |
11.3(11b)T3 |
|||
|
12.0 ベースのリリース |
リビルド |
Interim |
メンテナンス |
|
|
12.0 |
すべてのプラットフォーム向けGeneral Deploymentリリース |
12.0(19b)**、12.0(16b)**、12.0(15b)、12.0(8b)** |
12.0(26) |
|
|
12.0DA |
xDSLサポート:6100、6200 |
12.2DA、12.2(10)DA2、12.2(12)DA3に移行します。ご要望に応じてEngineering Specialを提供しています。 |
||
|
12.0DB |
初期導入 NSP用6400 UAC |
12.3(1a)に移行 |
||
|
12.0DC |
NRP用の初期配備6400 UAC |
12.3(1a)に移行 |
||
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200、c10k |
12.0(24)S2 12.0(23)S3 12.0(22)S5 12.0(21)S7 12.0(19)S4 12.0(18)S7 12.0(17)S7 12.0(16)S10 12.0(15)S7 12.0(14)S8 12.0(13)S8 12.0(12)S4 12.0(10)S8 12.0(21)S4a** 12.0(10)S3b** 12.0(16)S8a** 12.0(19)S2a** 12.0(21)S5a** 12.0(18)S5a** |
12.0(25)S:イメージはソフトウェアアドバイザリに記載されていますが、脆弱性はありません。推奨バージョンは12.0(25)S1です。 |
|
|
12.0SC |
ケーブル/ブロードバンドISP:uBR7200 |
12.1(19)ECに移行 |
||
|
12.0SL |
10000ESR: c10k |
12.0(23)S3、12.0(17)SL9への移行** |
||
|
12.0SP |
初期導入 |
12.0(22)S5、12.0(21)SP4**への移行が利用可能 |
||
|
12.0ST |
コア/ISPサポート用Early Deploymentリリース:GSR、RSP、c7200 |
12.0(21)ST7、12.0(20)ST6、12.0(19)ST6、12.0(17)ST8、12.0(21)ST3a** |
||
|
12.0SX |
12.0(21)SX |
12.0(22)S5に移行 |
||
|
12.0(22)SX |
||||
|
12.0SY |
初期導入 |
12.0(23)S3に移行 |
||
|
12.0SZ |
初期導入 |
12.0(23)S3に移行 |
||
|
12.0T |
初期導入 |
12.0(7)T3 |
||
|
12.0W5 |
Cat8510c、cat8510m、cat8540c、cat8540m、ls1010 |
12.0(24)W5(26c)** |
12.0(26)W5(28) |
|
|
Cat2950 |
12.1(13)EA1cに移行 |
|||
|
Cat4232およびCat2948G-L3 |
12.0(25)W5(27) |
|||
|
C6MSM |
要求に応じてEngineering Specialを利用可能 |
|||
|
C5rsfc、C5rsm、C3620、C3640、C4500、C7200、RSP |
12.1(20) |
|||
|
12.0WC |
初期配備2900XL-LRE、2900XL/3500XL |
12.0(5)WC8 |
||
|
12.0WT |
初期配備Catalystスイッチ:cat4840g |
要求に応じてEngineering Specialを利用可能 |
||
|
12.0X(l) |
Short-Liver Early Deployment(SMED)リリース |
すべての12.0X(任意の文字)リリースは、特定のリリースに関するXリリースのテクニカルノートに特に記載がない限り、12.0Tまたは12.1のいずれかに移行されています。すべての12.0Xリリースの移行パスを確認してください。 |
||
|
12.1 ベースのリリース |
リビルド |
Interim |
メンテナンス |
|
|
12.1 |
すべてのプラットフォーム向けGeneral Deploymentリリース |
12.1(17a)** 12.1(4b)** 12.1(6b)** 12.1(13a) |
12.1(18.4) |
12.1(19) |
|
12.1AA |
12.2 への移行が必要 |
|||
|
12.1AX |
Catalyst 3750、Catalyst 2970 |
12.1(14)EA1 - 2003年7月28日Engineering Specialリクエストに応じて提供 |
||
|
12.1AY |
Catalyst 2940 |
12.0(5)WC(1) 以降 |
||
|
12.1DA |
6160プラットフォーム |
12.2DAに移行 |
||
|
12.1DB |
6400 UAC |
12.1(5)DB2 |
12.3(1a)に移行 |
|
|
12.1DC |
6400 UAC |
12.1(5)DC3 |
12.3(1a)に移行 |
|
|
12.1E |
コアエンタープライズサポート:c7200、Catalyst 6000、RSP、c7100、Cat4000、Cat8500MSR、Cat8500CSR、LS1010、ONS15540 |
12.1(6)E12** 12.1(7a)E1a** 12.1(8b)E14 12.1(11b)E12 12.1(12c)E7** 12.1(13)E7:イメージは保留されていますが、脆弱ではありません。推奨リリース:12.1(13)E8 12.1(14)E4 12.1(10)E6a** 12.1(11b)E0a** 12.1(7)E0a** |
12.1(19)E |
|
|
12.1EA |
12.1(4)EA 12.1(6)EA 12.1(8)EA 12.1(9)EA 12.1(11)EA 12.1(12c)EA 12.1(13)EA |
12.1(13)EA1cに移行 |
||
|
12.1EB |
LS1010 |
12.1(14)EB |
||
|
12.1EC |
初期導入 |
12.1(13)EC4 |
12.1(19)EC(2003年8月25日) |
|
|
12.1EV |
初期導入 |
12.1(12c)EV2 |
||
|
12.1EW |
初期配備Cat4000 L3 |
12.1(12c)EW2 12.1(13)EW2 |
12.1(19)EW |
|
|
12.1EX |
初期導入 |
12.1(1)EXから12.1(8b)EX5、12.1(8b)E14への移行 12.1(9)EXから現在まで – 未定 |
||
|
12.1EY |
12.1(14)E4に移行 12.1(14)EBへの移行(LS1010のみ) |
|||
|
12.1YJ |
12.1(14)EA1 - 2003年7月28日 |
|||
|
12.1T |
初期導入 |
12.1(5)T8c** 12.1(5)T15 |
||
|
12.1X(l) |
12.1Xリリースは通常、次に示すように12.1T、12.2、または12.2Tに移行します。移行パスの文書化については、特定のトレインのテクニカルノートを参照してください。 |
|||
|
12.1XA |
Short-Lived Early Deploymentリリース |
12.2(11)T9に移行 |
||
|
12.1XC 12.1XD 12.1XH |
Short-Liver Early Deployment(SMED)リリース |
12.2(17) に移行 |
||
|
12.1XI |
12.1(3a)XI9** |
|||
|
12.1XB 12.1XF 12.1XG 12.1XJ 12.1XL 12.1XP 12.1XR 12.1XT 12.1YB 12.1YC 12.1YD 12.1YH |
Short-Liver Early Deployment(SMED)リリース |
12.2(15)T5に移行 |
||
|
12.1XM 12.1XQ 12.1XV |
Short-Liver Early Deployment(SMED)リリース |
12.2(2)XB11に移行 |
||
|
12.1XU |
Short-Lived Early Deploymentリリース |
12.2(4)T6に移行 |
||
|
12.1YE 12.1YF 12.1YI |
Short-Liver Early Deployment(SMED)リリース |
12.2(2)YCに移行 |
||
|
12.2 ベースのリリース |
リビルド |
Interim |
メンテナンス |
|
|
12.2 |
すべてのプラットフォームのGeneral Deployment(GD)候補 |
12.2(16a)、12.2(13b)M2**、12.2(12e)、12.2(10d)、12.2(6j)、12.2(7g)** |
12.2(17) |
|
|
12.2B |
12.2(2)B-12.2(4)B7 |
12.2(4)B7a** |
12.3(1a)に移行 |
|
|
12.2(4)B8-12.2(16)B |
12.2(16)B1 |
|||
|
12.2BC |
Early Deploymentリリース |
12.2(15)BC1 - (2003年8月予定) 12.2(11)BC3c |
||
|
12.2BW |
7200、7400、および7411プラットフォームで使用するための初期導入 |
12.3(1a)に移行 |
||
|
12.2BX |
ブロードバンド/専用回線 |
12.2(16)BX |
||
|
12.2BZ |
Early Deploymentリリース |
12.2(15)BZ1**(2003年8月に提供開始) |
12.2(16)BXに移行 |
|
|
12.2CX |
Early Deploymentリリース |
12.2(15)BC1に移行 |
||
|
12.2CY |
Early Deploymentリリース |
12.2(15)BC1に移行 |
||
|
12.2DA |
Early Deploymentリリース |
12.2(10)DA2、12.2(12)DA3、Engineering Special要求に応じて提供 |
||
|
12.2DD |
Early Deploymentリリース |
12.3(1a)に移行 |
||
|
12.2DX |
Early Deploymentリリース |
12.3(1a)に移行 |
||
|
12.2JA |
Cisco Aironetハードウェアプラットフォーム:IOS、Cisco 1100シリーズアクセスポイント(802.11b)におけるアクセスポイント機能の導入 |
12.2(11)JA |
||
|
12.2MB |
2600 7500用の特定テクノロジーED(GPRS/PDSN/GGSN 2600/7200/7500) |
12.2(4)MB12 |
||
|
12.2MC |
初期導入:IP RAN |
12.2(15)MC1(2003年9月に提供開始) |
||
|
12.2MX |
12.2(8)YD |
|||
|
12.2S |
コア/ISPサポート:RSP、c7200 |
12.2(14)S1 |
12.2(16.5)S |
|
|
12.2SX |
C6500 Supervisor720のIOSサポート |
12.2(14)SX1 |
||
|
12.2SY |
c6k/76xx VPNサービスモジュール用VPN機能リリース |
12.2(14)SY1 - 2003年8月4日 12.2(8)YD |
||
|
12.2SZ |
7304プラットフォーム |
12.2(14)SZ2 |
||
|
12.2T |
すべてのプラットフォーム向けの新しいTechnology Early Deployment(ED)リリース |
12.2(15)T5、12.2(13)T5、12.2(11)T9、12.2(8)T10、12.2(4)T6、12.2(8)T0c**、12.2(13)T1a** |
12.2(16.5)T |
12.2T用のメンテナンストレインは今後予定されていません。最新の12.3メインラインリリースに移行してください。 |
|
12.2X(l) 12.2Y(l) |
Short-Liver Early Deployment(SMED)リリース |
多くの短期リリースは同じトレインに移行します。このトレインから次のセクションまでのトレインは、厳密なアルファベット順ではなく、移行パス別にグループ化されます。ご利用のトレインのマイグレーションパスのドキュメントを確認してください。 |
||
|
12.2XA |
Short-Liver Early Deployment(SMED)リリース |
12.2(11)T9に移行 |
||
|
12.2XM |
12.2(4)YA6に移行 |
|||
|
12.2XS |
12.2(2)XB11 12.2(1)XS1a** |
12.2(2)XB11に移行 |
||
|
12.2XD 12.2XE 12.2XH 12.2XI 12.2XJ 12.2XK 12.2XL 12.2XQ 12.2XU 12.2XW 12.2YB 12.2YC 12.2YF 12.2YG 12.2YH 12.2YJ 12.2YT |
Short-Liver Early Deployment(SMED)リリース |
12.2(15)T5に移行 |
||
|
12.2YA |
12.2(4)YA6 |
|||
|
12.2YN |
Short-Lived Early Deploymentリリース |
12.2(13)ZH2への移行 – 2003年7月25日 |
||
|
12.2YO |
Short-Lived Early Deploymentリリース |
12.2(14)SY1への移行が利用可能2003年8月4日:Engineering Specialがリクエストに応じて利用可能 |
||
|
12.2XB |
継続的なサポートを含む早期導入リリース |
12.2(2)XB11 |
||
|
12.2XC |
Short-Lived Early Deploymentリリース |
12.2(8)ZB7への移行 – 2003年7月24日 |
||
|
12.2XF |
Short-Liver Early DeploymentリリースuBR10000 |
12.2(15)BC1に移行 |
||
|
12.2XG |
Short-Lived Early Deploymentリリース |
12.2(8)T10に移行 |
||
|
12.2XN 12.2XT |
Short-Liver Early Deployment(SMED)リリース |
12.2(11)T9に移行 |
||
|
12.2YD |
Short-Lived Early Deploymentリリース |
|||
|
12.2(8)YYに移行 |
||||
|
12.2YK |
12.2(13)ZCに移行 |
|||
|
12.2YL 12.2YM 12.2YU 12.2YV |
Short-Liver Early Deployment(SMED)リリース |
12.2(13)ZH2への移行 – 2003年7月25日 |
||
|
12.2YP |
Short-Lived Early Deploymentリリース |
12.2(11)YP1** |
||
|
12.2YQ 12.2年 |
Short-Liver Early Deployment(SMED)リリース |
12.2(15)ZLに移行 |
||
|
12.2YS |
Short-Lived Early Deploymentリリース |
12.2(15)YS/1.2(1) |
||
|
12.2YW |
Short-Lived Early Deploymentリリース |
12.2(8)YW2 |
||
|
12.2YX |
7100/7200用のShort-Lived Early Deployment(SMED)リリースCrypto |
12.2(11)YX1 |
||
|
12.2YY |
General Packet Radio ServiceのIOSサポートの短期初期配備リリース |
12.2(8)YY3 |
||
|
12.2YZ |
Short-Lived Early Deploymentリリース |
12.2(11)YZ2 |
||
|
12.2ZA |
Short-Lived Early Deploymentリリース |
12.2(14)ZA2 |
||
|
12.2ZB |
Short-Lived Early Deploymentリリース |
12.2(8)ZB7 |
||
|
12.2ZC |
Short-Lived Early Deploymentリリース |
12.2(13)ZC |
||
|
12.2ZD |
Short-Lived Early Deploymentリリース |
未スケジュール |
||
|
12.2ZE |
Short-Lived Early Deploymentリリース |
12.3(1a) |
||
|
12.2ZF |
Short-Lived Early Deploymentリリース |
12.2(13)ZF1 |
||
|
12.2ZG |
Short-Lived Early Deploymentリリース |
12.2(13)ZH2への移行 – 2003年7月25日 |
||
|
12.2ZH |
Short-Lived Early Deploymentリリース |
12.2(13)ZH2 |
||
|
12.2ZJ |
Short-Lived Early Deploymentリリース |
12.2(15)ZJ1 |
||
|
12.2ZL |
Short-Lived Early Deploymentリリース |
脆弱性なし |
||
|
12.3 ベースのリリース |
脆弱性なし |
|||
注:
** CCOではマーク付きバージョンのコードは使用できません。Cisco TACに連絡して、必要な具体的な画像の投稿を依頼してください。
Cisco ONS 15454 ソフトウェア
この脆弱性は、Cisco ONS 15454ソフトウェアリリース4.1.0以降で修正されており、2003年8月上旬に利用可能になる予定です。
推奨事項
不正利用事例と公式発表
URL
改訂履歴
|
リビジョン 1.0 |
2003年7月17日0:00 GMT |
初版リリース |
|
リビジョン 1.1 |
2003年7月17日6:10 GMT |
「回避策」セクション(アクセスリスト)、表を12.0W5の情報で更新 |
|
リビジョン 1.2 |
2003年7月17日10:30 GMT |
「最終更新日」を修正。「回避策」セクションのインフラストラクチャACLリンクのドキュメントタイトルを修正。 |
|
リビジョン 1.3 |
2003年7月17日23:00 GMT |
「概要」セクションに「特定のプロトコルフィールドを使用」を追加、「詳細」セクションを更新してプロトコルタイプを追加、「シスコの脆弱性」セクションに詳細を追加、攻撃パケットを特定する出力例を追加、「トランジットACLを書き換え」セクションを更新、「エクスプロイトおよび公表」段落を更新 |
|
リビジョン 1.4 |
2003年7月18日10:00 GMT |
「不正利用と公表」セクションに文を追加 |
|
Revision 1.5 |
2003年7月18日14:00 GMT |
PIMプロセスに関する情報を追加し、「詳細」セクションの出力を変更 |
|
Revision 1.6 |
2003年7月18日21:00 GMT |
iaclおよびtaclドキュメントへの固定リンク。変更された11.2SA、12.0S、12.0SX、12.0WC、12.1AX、12.1E、12.1XA、12.2BC、12.2DA、12.2SX、12.2SY、12.2XC、12.ZB |
|
Revision 1.7 |
2003年7月21日05:00 GMT |
「回避策」セクションの再フォーマット、セキュリティのベストプラクティスに関する推奨事項の追加、PIM固有の回避策の追加、バグの詳細の明確化、非イーサネットインターフェイスへの影響の確認、IOSを実行するCiscoスイッチ/ラインカードへの影響の確認。 |
|
リビジョン 1.8 |
2003年7月22日14:38 GMT |
11.1、11.1CC、12.0、12.0S、12.0SP、12.1、12.2ZF、12.2ZG、および12.2ZHの利用可能なソフトウェア修正を追加。 |
|
Revision 1.9 |
2003年7月22日23:15 GMT |
ONS 15454 MLシリーズカードの該当製品の追加、ネットワーク管理のホワイトペーパーへのリンクの追加、および11.1、12.0S、12.0W5、12.1、12.1E、12.1EV、12.1EW、12.1EX、12.1EY、12.1T、12.2、12.2BC、12.2CX、12の2で2利用可能ソフトウェア修正CY、および12.2Tです。 |
|
リビジョン 1.10 |
2003年7月24日22:34 UTC(GMT) |
11.1、11.3、11.3T、12.0S、12.0SL、12.0W5、12.1E、12.1EC、12.1T、12.1XI、12.2BZ、12.2DA、12.2XM、12.2YA、12.2YN、12.2ZF、および2.2ZG、12.2ZH、12.2YL、12.2YM、12.2YU、および12.2YV。 |
|
リビジョン 1.11 |
2003年7月30日14:45 UTC(GMT) |
11.1AA、11.2、11.2P、12.0、12.1、12.1E、12.1EC、12.1T、12.2、12.2B、12.2BZ、12.2MC、12.2T、12.2XS、12.2YA、12.2YP、12.2ZB、12.2ZB、12に2の入手可能ソフトウェア修正を更新ZF、12.2ZH |
|
リビジョン 1.12 |
2003年7月31日15:45 UTC(GMT) |
11.2の利用可能なソフトウェア修正を更新 |
|
リビジョン 1.13 |
2003年8月2日01:00 UTC(GMT) |
12.0Tおよび12.1ECの利用可能なソフトウェア修正を更新 |
|
リビジョン 1.14 |
2003年9月4日18:16 UTC(GMT) |
12.0および12.2の利用可能なソフトウェア修正を更新 |
|
リビジョン 1.15 |
2004年7月22日20:00 UTC(GMT) |
「該当製品」セクションのURLの破損を修正。 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。