日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSソフトウェアの特定のバージョンのCisco IOS Stack Group Bidding Protocol(SGBP)機能は、リモートから悪用できるサービス妨害(DoS)状態に対して脆弱です。SGBPプロトコルをサポートしていないデバイス、またはSGBPプロトコルを有効にしていないデバイスは、この脆弱性の影響を受けません。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。この脆弱性に対しては、影響を緩和するための回避策があります。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性は、Cisco IOSを実行し、SGBPプロトコルを有効にしている任意のデバイスに影響を与えます。SGBPを有効にするには、スタックグループを定義します。これは、グローバルIOSコマンドsgbp group <name>を使用して行います。このコマンドが存在すると、残りのSGBPパラメータが完全に設定されていない場合でも、デバイスはポート9900でリスニングを開始します。
次の例は、SGBPが有効になっているデバイス設定を示しています。
Router#show sgbp Group Name: test Ref: 0xA3728C00 Seed bid: default, 50, default seed bid setting
または
Router#show running-config | include sgbp sgbp group test_group
デバイスで上記の例のいずれかに類似した出力が表示される場合は、下記のIOSソフトウェアの表を参照して、ご使用のIOSのバージョンが該当するかどうかを確認してください。
脆弱性を含んでいないことが確認された製品
IOSを実行していないシスコ製品、SGBPのサポートがないシスコ製品、またはSGBPを有効にしていないシスコ製品は、この脆弱性の影響を受けません。
SGBPがサポートされていないか有効になっていないシステムでは、ブランクの出力またはエラーメッセージが返されます。次の例は、この脆弱性の影響を受けないデバイス設定を示しています。
-
SGBPをサポートしているが、SGBPが有効になっていないシステムは、次の出力を返します。
Router#show sgbp Router#
-
SGBPをサポートしていないシステムでは、次のエラーメッセージが返されます。
Router#show sgbp Router#show sgbp ^ % Invalid input detected at '^' marker.
詳細
マルチリンクPPP(MLP)を使用すると、ユーザは複数のPPPリンクを1つの論理ネットワーク接続に結合できるため、オンデマンドの帯域幅割り当てが可能になります。複数のデバイスシャーシに実装する場合、これはマルチシャーシマルチリンクPPP(MMP)と呼ばれます。Stack Group Bidding Protocol(SGBP;スタックグループビッディングプロトコル)は、MMPに参加しているデバイスが互いを探し出し、接続ターミネーションポイントをネゴシエートするメカニズムです。
Cisco Internetwork Operating System(IOS)によって提供されるSGBP実装は、巧妙に細工されたUDPパケットが提示されると、サービス拒否攻撃の影響を受けやすくなります。このようなパケットを該当デバイスのポート9900に送信すると、パケットがフリーズし、トラフィックへの応答やトラフィックの受け渡しが停止します。遅延が発生すると、システムウォッチドッグタイマーがこの状態を検出し、デバイスのリセットを強制します。システムの回復動作は、デバイスのコンフィギュレーションレジスタによって制御されます。たとえば、ルータがリロードしたり、ROMモニタにドロップしたりする場合があります。
この脆弱性は、Cisco Bug ID CSCsb11124(登録ユーザ専用)に記載されています。
回避策
このセクションでは、次の脆弱性の回避策について説明します。
-
アクセスコントロールリスト(ACL)の設定
SGBPプロトコルを有効にする必要があるサイトでは、アクセスコントロールリスト(ACL)を適用して、信頼できないホストがこの脆弱性を不正利用するのを防ぐことができます。次の拡張アクセスリストをネットワークに適用できます。この例では、SGBPメンバーが192.168.10.0ネットワークを使用して通信することを前提としています。
その後、次のような設定コマンドを使用して、すべてのインターフェイスにアクセスリストを適用する必要があります。access-list 101 permit udp 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 port eq 9900 access-list 101 deny udp any 192.168.10.0 0.0.0.255 port eq 9900 access-list 101 permit ip any any
interface ethernet 0/0 ip access-group 101 in
-
コントロールプレーンポリシングの有効化
次の例に示すように、コントロールプレーンポリシー(CoPP)機能を使用して、この脆弱性を軽減できます。
! Do not police SGBP traffic from the trusted network access-list 140 deny udp 192.168.10.0 0.0.0.255 any eq 9900 ! Police SGBP traffic from untrusted hosts and networks access-list 140 permit udp any any eq 9900 ! Do not police any other type of traffic going to the router access-list 140 deny ip any any ! class-map match-all sgbp-class match access-group 140 ! policy-map control-plane-policy ! Drop all traffic that matches the class "sgbp-class" class sgbp-class drop ! control-plane service-policy input control-plane-policy
注:CoPPが利用できるのは、特定のプラットフォームとIOSリリーストレインだけです。CoPP 機能の設定と使用方法についての詳細は、次の URL で確認できます。
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html
-
インフラストラクチャ ACL(iACL)
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、iACLのガイドラインと推奨される導入方法について説明しています。http://www.cisco.com/warp/public/707/iacl.html
-
受信アクセスリスト(rACL)の設定
分散プラットフォームでは、Cisco IOSソフトウェアバージョン12.0(21)S2(12000シリーズGSR)および12.0(24)S(7500シリーズ)以降では、rACLがオプションになる場合があります。受信アクセス リストは、ルート プロセッサが有害なトラフィックの影響を受ける前に、そのトラフィックからデバイスを保護します。受信パスACLはネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。CPU 負荷がライン カード プロセッサに分散されるため、メイン ルート プロセッサの負荷を軽減させるのに役立ちます。ホワイトペーパー『GSR: Receive Access Control Lists』では、デバイスへの正当なトラフィックを特定して許可し、不要なパケットをすべて拒否します。http://www.cisco.com/warp/public/707/racl.html
修正済みソフトウェア
シスコでは、この脆弱性に対処する最新のソフトウェアを提供しています。詳細については、次のソフトウェアの表を参照してください。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
該当する 12.0 ベースのリリース |
リビルド |
メンテナンス |
|
12.0 |
12.2(32) に移行 |
|
|
12.0S |
12.0(28)S6 |
|
|
12.0(30)S5(2006年2月23日に入手可能) |
||
|
12.0(31)S3(2006年1月26日に入手可能) |
||
|
12.0(32)S(2006年1月26日に入手可能) |
||
|
12.0SC |
12.3(13a)BC以降への移行が必要 |
|
|
12.0T |
12.2(32) 以降に移行 |
|
|
12.0XA |
12.2(32) 以降に移行 |
|
|
12.0XC |
12.2(32) 以降に移行 |
|
|
12.0XD |
12.2(32) 以降に移行 |
|
|
12.0XE |
12.1(26)E5への移行が必要 |
|
|
12.0XG |
12.2(32) 以降に移行 |
|
|
12.0XH |
12.2(32) 以降に移行 |
|
|
12.0XI |
12.2(32) 以降に移行 |
|
|
12.0XJ |
12.2(32) 以降に移行 |
|
|
12.0XK |
12.2(32) 以降に移行 |
|
|
12.0XL |
12.2(32) 以降に移行 |
|
|
12.0XN |
12.2(32) 以降に移行 |
|
|
12.0XR |
12.2(32) 以降に移行 |
|
|
該当する 12.1 ベースのリリース |
リビルド |
メンテナンス |
|
12.1 |
12.2(32) 以降に移行 |
|
|
12.1AA |
12.2(32) 以降に移行 |
|
|
12.1E |
12.1(26)E5 |
|
|
12.1EC |
12.3(13a)BC以降への移行が必要 |
|
|
12.1EX |
12.1(26)E5への移行が必要 |
|
|
12.1EZ |
12.1(26)E5への移行が必要 |
|
|
12.1GA |
12.2(32) 以降に移行 |
|
|
12.1GB |
12.2(32) 以降に移行 |
|
|
12.1T |
12.2(32) 以降に移行 |
|
|
12.1XA |
12.2(32) 以降に移行 |
|
|
12.1XD |
12.2(32) 以降に移行 |
|
|
12.1XH |
12.2(32) 以降に移行 |
|
|
12.1XI |
12.2(32) 以降に移行 |
|
|
12.1XL |
12.3(16) 以降に移行 |
|
|
12.1XM |
12.3(16) 以降に移行 |
|
|
12.1XQ |
12.3(16) 以降に移行 |
|
|
12.1XS |
12.2(32) 以降に移行 |
|
|
12.1XU |
12.2(32) 以降に移行 |
|
|
12.1XW |
12.2(32) 以降に移行 |
|
|
12.1XX |
12.2(32) 以降に移行 |
|
|
12.1XY |
12.2(32) 以降に移行 |
|
|
12.1XZ |
12.2(32) 以降に移行 |
|
|
12.1YA |
12.3(16) 以降に移行 |
|
|
12.1YB |
12.3(16) 以降に移行 |
|
|
12.1YD |
12.3(16) 以降に移行 |
|
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
12.2 |
12.2(32) |
|
|
12.2B |
12.3(11)T9以降への移行が必要 |
|
|
12.2BC |
12.3(13a)BC以降への移行が必要 |
|
|
12.2BW |
12.3(16) 以降に移行 |
|
|
12.2BY |
12.3(11)T9以降への移行が必要 |
|
|
12.2CX |
12.3(13a)BC以降への移行が必要 |
|
|
12.2DD |
12.3(11)T9以降への移行が必要 |
|
|
12.2DX |
12.3(11)T9以降への移行が必要 |
|
|
12.2MC |
12.3(11)T9以降への移行が必要 |
|
|
12.2S |
12.2(14)S16(2006年2月9日に入手可能) 12.2(18)S以降には脆弱性はありません。 |
|
|
12.2SU |
12.3(14)T6への移行が必要 |
|
|
12.2SY |
12.2SXD以降への移行が必要 |
|
|
12.2SZ |
12.2S以降への移行 |
|
|
12.2T |
12.3(16) 以降に移行 |
|
|
12.2XA |
12.3(16) 以降に移行 |
|
|
12.2XB |
12.3(16) 以降に移行 |
|
|
12.2XC |
12.3(11)T9以降への移行が必要 |
|
|
12.2XF |
12.3(13a)BC以降への移行が必要 |
|
|
12.2XG |
12.3(16) 以降に移行 |
|
|
12.2XK |
12.3(16) 以降に移行 |
|
|
12.2XL |
12.3(16) 以降に移行 |
|
|
12.2XS |
12.3(16) 以降に移行 |
|
|
12.2XT |
12.3(16) 以降に移行 |
|
|
12.2XV |
12.3(16) 以降に移行 |
|
|
12.2YD |
12.3(11)T9以降への移行が必要 |
|
|
12.2YE |
12.2S以降への移行 |
|
|
12.2YN |
12.3(11)T9以降への移行が必要 |
|
|
12.2YT |
12.3(16) 以降に移行 |
|
|
12.2YW |
12.3(11)T9以降への移行が必要 |
|
|
12.2YX |
12.3(14)T6への移行が必要 |
|
|
12.2YY |
12.3(11)T9以降への移行が必要 |
|
|
12.2YZ |
12.2S以降への移行 |
|
|
12.2ZA |
12.2SXD以降への移行が必要 |
|
|
12.2ZB |
12.3(11)T9以降への移行が必要 |
|
|
12.2ZD |
contact TAC |
|
|
12.2ZE |
12.3(16) 以降に移行 |
|
|
12.2ZJ |
12.3(11)T9以降への移行が必要 |
|
|
12.2ZN |
12.3(11)T9以降への移行が必要 |
|
|
該当する 12.3 ベースのリリース |
リビルド |
メンテナンス |
|
12.3 |
12.3(16) |
|
|
12.3B |
12.3(11)T9以降への移行が必要 |
|
|
12.3BC |
12.3(13a)BC |
|
|
12.3BW |
12.3(11)T9以降への移行が必要 |
|
|
12.3T |
12.3(11)T9 |
|
|
12.3(14)T6 |
||
|
12.3XB |
12.3(11)T9以降への移行が必要 |
|
|
12.3XD |
12.3(11)T9以降への移行が必要 |
|
|
12.3XF |
12.3(11)T9以降への移行が必要 |
|
|
12.3XH |
12.3(11)T9以降への移行が必要 |
|
|
12.3XI |
contact TAC |
|
|
12.3XJ |
12.3(14)YX以降への移行が必要 |
|
|
12.3XM |
12.3(14)T6への移行が必要 |
|
|
12.3XQ |
12.4(3) 以降に移行 |
|
|
12.3XU |
12.4(4)T以降への移行が必要 |
|
|
12.3XW |
12.3(14)YX以降への移行が必要 |
|
|
12.3YF |
12.3(14)YX以降への移行が必要 |
|
|
12.3YG |
contact TAC |
|
|
12.3YJ |
12.3(14)YQ2への移行が必要 |
|
|
12.3YK |
contact TAC |
|
|
12.3YM |
12.3(14)YM4 |
|
|
12.3YQ |
12.3(14)YQ2 |
|
|
12.3YT |
contact TAC |
|
|
12.3YU |
contact TAC |
|
|
12.3YX |
12.3(14)YX |
|
|
該当する 12.4 ベースのリリース |
リビルド |
メンテナンス |
|
12.4 |
12.4(1b) |
|
|
12.4(3) |
||
|
12.4MR |
12.4(4)MR |
|
|
12.4T |
12.4(2)T3 |
|
|
12.4(4)T |
||
|
12.4XA |
12.4(2)XA |
|
|
12.4XB |
12.4(2)XB |
|
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は内部テストで発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2006年1月18日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。