日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Dynamic Host Configuration Protocol(DHCP;ダイナミックホストコンフィギュレーションプロトコル)サーバまたはリレーエージェントが有効になっているCisco IOSバージョン12.2Sのブランチを実行しているCisco IOS®デバイスは、設定されていない場合でも、サービス拒否に対して脆弱です。サービス拒否では、巧妙に細工されたDHCPパケットを受信すると入力キューがブロックされます。シスコでは、この問題に対処する無償の修正済みソフトウェアを提供しています。この脆弱性を軽減する回避策もあります。この問題は、CSCdx46180に含まれる修正によって発生し、Cisco Bug ID CSCee50294(登録ユーザ専用)で追跡されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20041110-dhcpで確認できます。
該当製品
この脆弱性は、CSCdx46180の修正によって発生し、Cisco IOS 12.2(14)SZおよび12.2(18)Sに統合されています。
脆弱性のある製品
Cisco IOSバージョン12.2(14)SZまたはCisco IOS 12.2(18)S以降(以下のセクションに記載)を実行する次のシスコ製品は、この脆弱性の影響を受けます。
-
Cisco 7200、7300、7500プラットフォーム
-
Cisco 2650、2651、2650XM、2651XMマルチサービスプラットフォーム
-
Cisco ONS15530、ONS15540
-
Cisco Catalyst 4000、Sup2plus、Sup3、Sup4、およびSup5モジュール
-
Cisco Catalyst 4500、Sup2Plus TS
-
Cisco Catalyst 4948、2970、3560、および3750
-
Cisco Catalyst 6000、Sup2/MSFC2およびSup720/MSFC3
-
Cisco 7600 Sup2/MSFC2およびSup720/MSFC3
この問題は、該当するCisco IOSバージョン12.2(18)EW、12.2(18)EWA、12.2(14)SZ、12.2(18)S、12.2(18)SE、12.2(18)SV、12.2(18)SW以降を実行していて、コンフィギュレーションコマンドno service dhcpが設定されていないシスコデバイスにのみ影響します。この脆弱性を悪用するためにDHCPサーバやリレーエージェントを設定する必要はありません。IOSでは「service dhcp」がデフォルトで有効になっており、この脆弱性を悪用するために(インターフェイスアドレスに加えて)必要な唯一の設定です。これには、Cisco IOSソフトウェアを実行するルータ、スイッチ、およびラインカードが含まれます。Cisco IOSソフトウェアが稼働していないシスコデバイスは影響を受けません。no service dhcpコマンドが有効な、該当するCisco IOSソフトウェアが稼働しているシスコデバイスは、この脆弱性の影響を受けません。
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または単に「IOS®」と表示されます。 出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.0(3)が稼働し、インストールされているイメージ名がC2500-IS-Lであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (TM) 2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
リリーストレインラベルは「12.0」です。
次の例は、Cisco IOSリリース12.0(2a)T1が稼働し、イメージ名がC2600-JS-MZである製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOSリリースの命名の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性を含んでいないことが確認された製品
no service dhcpコマンドが有効な、該当するCisco IOSソフトウェアが稼働しているシスコデバイスは、この脆弱性の影響を受けません。
下記のソフトウェアバージョンと修正の表に記載されていないIOSのバージョンが稼働するシスコ製品は、この脆弱性の影響を受けません。
Cisco IOSソフトウェアが稼働しておらず、この脆弱性の影響を受けないシスコ製品には、次のものが含まれますが、これらに限定されません。
-
700シリーズのダイヤルアップルータ(750、760、および770シリーズ)は影響を受けません。
-
IGX、BPX、MGX回線などのWANスイッチング製品は影響を受けません。
-
ホストベースのソフトウェアは影響を受けません。
-
Cisco PIX Firewallは該当しません
-
Cisco LocalDirectorは該当しません。
-
Cisco Content EngineおよびACNSは影響を受けません。
-
CatOSが稼働するCatalyst 2901/2902、2948G、2980G、4000、5000、および6000スイッチ。
-
Cisco Network Registrarには影響はありません。
-
Cisco VPN 3000シリーズは該当しません
-
Cisco IOS-XRプラットフォームは該当しません。
-
Cisco MDS 9000ファミリは該当しません。
詳細
DHCPサービスを使用すると、デバイスはネットワークを介してDHCPサーバに基本的なホスト設定情報を要求および受信できます。シスコのルータは、動的なホスト設定情報(DHCPサーバ機能と呼ばれる)を提供し、異なるブロードキャストドメイン間でDHCPおよびBootPパケットを転送する(DHCPリレーエージェント機能と呼ばれる)ように設定できます。Ciscoルータは、デフォルトでDHCPパケットを処理して受け入れるように設定されているため、コマンドservice dhcpは実行コンフィギュレーション表示には表示されず、機能が無効にされると、無効になった機能に対するコマンドno service dhcpだけが実行コンフィギュレーション表示に表示されます。この脆弱性は、DHCPサーバまたはリレーエージェントの設定が該当製品に存在するかどうかに関係なく存在します。該当するバージョンでは、この脆弱性に対して必要な設定はno service dhcpコマンドの欠如だけです。特定の巧妙に細工されたDHCPパケットは配信不能になる可能性がありますが、ドロップされずにキューに残ります。入力キューのサイズに等しい数のパケットが送信されると、そのインターフェイスではそれ以上のトラフィックは受け入れられません。
ブロックされたイーサネットインターフェイスでは、Address Resolution Protocol(ARP;アドレス解決プロトコル)がデフォルトの時間である4時間後にタイムアウトし、IPトラフィックとIPXなどの非IPトラフィックの両方を含む着信トラフィックまたは発信トラフィックが処理されません。インターフェイスの入力キューをクリアするにはデバイスをリブートする必要があり、ユーザの介入がなければリロードは行われません。この攻撃がすべてのインターフェイスで繰り返されると、DHCPパケットがデフォルトで処理されず、アウトオブバンド管理に使用され、リモートアクセス用に設定されるコンソールポートを除いて、ルータにリモートからアクセスできなくなる可能性があります。回避策が利用可能であり、次の「回避策」セクションに記載されています。ATM、シリアル、およびPOSインターフェイスなど、他のタイプのインターフェイスも影響を受けますが、ARPは要因ではありません。
ブロックされた入力インターフェイスを特定するには、show interfacesコマンドを使用して、Input Queue行を探します。入力キューのサイズが増加し続ける可能性があります。現在のサイズ(この場合は76)が最大サイズ(75)よりも大きい場合、入力キューはブロックされます。
Router#show interface ethernet 0/0 Ethernet0/0 is up, line protocol is up Hardware is AmdP2, address is 0050.500e.f1e0 (bia 0050.500e.f1e0) Internet address is 172.16.1.9/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set, keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:41, output 00:00:07, output hang never Last clearing of "show interface" counters 00:07:18 Input queue: 76/75/1091/0 (size/max/drops/flushes); Total output drops: 0 !--- The 76/75 shows that this is blocked
回避策
この脆弱性には、次の4つの回避策があります。
-
dhcpサービスの無効化
-
コントロール プレーン ポリシング
-
アクセスコントロールリストの2つのバージョン
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
DHCPサービスの無効化
この脆弱性は、次のコマンドを使用して軽減できます。
no service dhcp
ただし、この回避策を使用すると、一部のネットワーク設定で必要になる可能性があるDHCPヘルパー機能を含め、デバイス上のすべてのDHCP処理が無効になります。
コントロールプレーンポリシング機能
コントロールプレーンポリシー機能を使用して、この脆弱性を緩和することができます。次に例を示します。
access-list 140 deny udp host 192.168.13.1 any eq bootps
access-list 140 deny udp any host 192.168.13.1 eq bootps
access-list 140 deny udp any host 255.255.255.255 eq bootps
access-list 140 permit udp any any eq bootps
class-map match-all bootps-class
match access-group 140
policy-map control-plane-policy
class bootps-class
police 8000 1500 1500 conform-action drop exceed-action drop
control-plane
service-policy input control-plane-policy
この例では、192.168.13.1は正当なDHCPサーバです。
CPP機能の設定と使用方法の詳細については、次のリンクを参照してください。
この機能はCisco IOSバージョン12.2Sおよび12.3Tでのみ使用可能であるため、この回避策はCisco IOS 12.2Sにのみ適用できます。Cisco IOS 12.3Tはこのアドバイザリの影響を受けません。
アクセスリスト:2つの方法
次の例に示すように、アクセスリストを適用して、任意のルータインターフェイスアドレス宛てのDHCP/BootPトラフィックをブロックできます。
この例では、IPアドレス192.168.13.1は正当なDHCPサーバを表し、アドレス10.89.236.147と192.168.13.2はルータインターフェイスのアドレスを表し、192.168.61.1はルータのループバックインターフェイスを表します。
この例では、ルータインターフェイスアドレス宛てのBOOTP/DHCPパケットがブロックされます。
access-list 100 remark permit bootps from the DHCP server access-list 100 permit udp host 192.168.13.1 any eq bootps access-list 100 remark deny bootps from any to router f1/0 access-list 100 deny udp any host 10.89.236.147 eq bootps access-list 100 remark deny bootps from any to router f0/0 access-list 100 deny udp any host 192.168.13.2 eq bootps access-list 100 remark deny bootps from any to router loopback1 access-list 100 deny udp any host 192.168.61.1 eq bootps access-list 100 remark permit all other traffic access-list 100 permit ip any any
access-list 100はf0/0およびf1/0物理インターフェイスに適用されます。
interface FastEthernet0/0 ip address 192.168.13.2 255.255.255.0 ip access-group 100 in interface FastEthernet1/0 ip address 10.89.236.147 255.255.255.240 ip access-group 100 in ip helper-address 192.168.13.1
インターフェイスアクセスリストの回避策の代替設定。
この例はすべての物理インターフェイスにも適用する必要がありますが、このアプローチでは、ルータに設定されているすべてのIPアドレスに対するdenyステートメントは必要ありません。この例では、アドレス192.168.13.1が正当なDHCPサーバです。
access-list 100 permit udp host 192.168.13.1 any eq bootps access-list 100 permit udp any host 192.168.13.1 eq bootps access-list 100 permit udp any host 255.255.255.255 eq bootps access-list 100 deny udp any any eq bootps interface FastEthernet0/0 ip address 192.168.13.2 255.255.255.0 ip access-group 100 in interface FastEthernet1/0 ip address 10.89.236.147 255.255.255.240 ip access-group 100 in ip helper-address 192.168.13.1
注:これらの回避策では、送信元IPアドレスがDHCPサーバのアドレスに設定されているIPパケットのスプーフィングを防止できません
アンチスプーフィングの詳細については、http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f 48.shtml#sec_ipおよびhttp://www.ietf.org/rfc/rfc2827.txtを参照してくだ
さい。
Unicast Reverse Path Forwarding(ユニキャストRPF)機能は、スプーフィングされたIP送信元アドレスによって引き起こされる問題の緩和に役立ちます。詳細については、http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfrpf.htmlを参照してください。
修正済みソフトウェア
次のCisco IOSソフトウェアの表の各行は、対象となるリリーストレインとプラットフォームまたは製品を示しています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。
-
メンテナンス:表の特定の行のリリーストレインについて、十分にテストされ、安定性が高く、強く推奨されるリリース。
-
リビルド:同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれます。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。この情報が不明な場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに記載されているサポートを依頼してください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。
ソフトウェアのインストールおよびアップグレード手順については、http://www.cisco.com/warp/public/130/upgrade_index.shtmlを参照してください。
Cisco IOSに関する投稿および修復済みイメージの最新の情報については、Cisco.comの登録ユーザがhttps://sec.cloudapps.cisco.com/support/downloads/go/Redirect.x?mdfid=268438303(登録ユーザ専用)で入手できるリストを確認してください。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
12.2(18)EW |
12.2(18)EW2 |
|
|
12.2(20)EW |
12.2(20)EWAに移行 |
|
|
12.2(18)EWA |
12.2(20)EWA |
|
|
12.2(18)S |
12.2(18)S6 |
|
|
12.2(20)S4 |
||
|
12.2(22)S2 |
||
|
12.2(25)S |
||
|
12.2(18)SE |
12.2(20)SE3 |
|
|
12.2(18)SV |
12.2(24)SV |
|
|
12.2(18)SW |
12.2(25)SW |
|
|
12.2(18)SXD |
影響なし |
|
|
12.2(14)SZ |
12.2(20)S4への移行 |
|
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、お客様からシスコに報告されたものです。
URL
改訂履歴
|
リビジョン 1.2 |
2004年12月1日 |
ソフトウェアバージョンテーブルを更新 – 12.2(20)EW |
|
リビジョン 1.1 |
2004年11月10日 |
「回避策」セクションにネットワークレビューの免責事項テキストを追加。 |
|
リビジョン 1.0 |
2004年11月10日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。