High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS Zone-Based Policy Firewall(ZFW)Session Initiation Protocol(SIP)インスペクションが設定されたCisco IOS®デバイスは、特定のSIP中継パケットを処理する際のサービス拒否(DoS)攻撃に対して脆弱です。この脆弱性が不正利用されると、該当デバイスのリロードが発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
この脆弱性に対しては回避策があります。
注:2009年9月23日のCisco IOSセキュリティアドバイザリバンドル公開には11件のSecurity Advisoryが含まれています。10 件のアドバイザリは Cisco IOS ソフトウェアの脆弱性に対処するもので、 1 件は Cisco Unified Communications Manager の脆弱性に対処するものです。各アドバイザリには、そのアドバイザリで詳述された脆弱性を解決するリリースを記載しています。
個々の公開リンクは、次のリンクの「Cisco Event Response: Semiannual Cisco IOS Software Advisory Bundled Publication」に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep09.html
該当製品
この脆弱性の影響を受けるCisco IOSソフトウェアリリースの数は限られています。影響を受けるリリースの詳細については、このアドバイザリの「ソフトウェアバージョンおよび修正」セクションを参照してください。
この脆弱性は、Cisco IOS Zone-Based Policy Firewall SIPインスペクション(UDPポート5060、TCPポート5060、および5061)が設定されているデバイスにのみ存在します。従来のCisco IOS Firewall Support for SIP(コンテキストベースアクセスコントロール(CBAC))が設定されているCisco IOSデバイスには脆弱性はありません。
脆弱性のある製品
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
以下の例は、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:
Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright ©) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih <output truncated>
次の例は、インストールされたイメージ名が C1841-ADVENTERPRISEK9-M で、Cisco IOS ソフトウェア リリース 12.4(20)T を実行しているシスコ製品を示しています。
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright ©) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team <output truncated>
Cisco IOSソフトウェアリリースの命名規則の追加情報は、次のリンクの「White Paper: Cisco IOS Reference Guide」で確認できます。http://www.cisco.com/warp/public/620/1.html
設定にレイヤ3またはレイヤ7のSIPアプリケーション固有のポリシーが設定されており、これらのポリシーが任意のファイアウォールゾーンに適用されている場合、デバイスは脆弱です。デバイスで脆弱性のある設定が実行されているかどうかを確認するには、デバイスにログインして、コマンドラインインターフェイス(CLI)コマンドshow policy-map type inspect zone-pair | include atch: access|protocol sipです。出力に「Match: protocol sip」が含まれている場合、そのデバイスには脆弱性が存在します。出力にMatch: access-group number が含まれている場合、デバイスはifでのみ脆弱であり、参照されるアクセスリストではSIPプロトコル(UDPポート5060、またはTCPポート5060および5061)が許可されています。次の例は、Cisco IOS Zone-Based Policy Firewall SIPインスペクションが設定された脆弱性のあるデバイスを示しています。
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip
Match: protocol sip
Router#
次の例は、適用されたアクセスリストを使用してSIPインスペクションが設定された脆弱性のあるデバイスを示しています。
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip
Match: access-group 102
Router#
Router#show access-list 102
Extended IP access list 102
10 permit udp any any eq 5060
20 permit tcp any any eq 5060
30 permit tcp any any eq 5061
Router#
SIPインスペクションが設定されていないデバイス、またはこの設定がサポートされていないデバイスは、空白行またはエラーメッセージを返します。Cisco IOS Firewallをサポートしているが、SIPインスペクションが有効になっていないデバイスの例を次に示します。
Router#show policy-map type inspect zone-pair | include atch: access|protocol sip Router#
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。脆弱性が存在しないことが確認された製品は次のとおりです。
-
Cisco PIX 500シリーズファイアウォール
-
Cisco ASA 5500シリーズ適応型セキュリティアプライアンス
-
Catalyst 6500シリーズスイッチおよび7600シリーズルータ用ファイアウォールサービスモジュール(FWSM)
-
Cisco XR 12000シリーズルータのマルチサービスブレード(MSB)上の仮想ファイアウォール(VFW)アプリケーション
-
Cisco ACE アプリケーション コントロール エンジン モジュール
-
Cisco IOSゾーンベースポリシーファイアウォールSIPインスペクションが設定されていないCisco IOSデバイス
-
レガシーのCisco IOS Firewall Support for SIP(CBAC)が設定されたCisco IOSデバイス
-
Cisco IOS XE ソフトウェア
-
Cisco IOS XR ソフトウェア
詳細
ファイアウォールは、組織のネットワーク資産へのアクセスを制御するネットワークデバイスです。ファイアウォールは、多くの場合、ネットワークへの入り口に配置されます。Cisco IOSソフトウェアは、特定の要件に応じて単純または複雑なファイアウォールポリシーを設定できるセキュリティ機能のセットを提供します。
Cisco IOSファイアウォールのSIPインスペクションは、基本的なSIPインスペクション機能(SIPパケットインスペクションとピンホールオープン)に加え、プロトコルの適合性とアプリケーションセキュリティを提供します。
Cisco IOS Zone-Based Policy Firewall SIPインスペクションが設定されているCisco IOSソフトウェアは、特定のSIP中継パケットを処理する際のDoS攻撃に対して脆弱です。この脆弱性が不正利用されると、該当デバイスのリロードが発生します。
Cisco IOS Zone-Based Policy Firewall SIPインスペクションは、Cisco IOSソフトウェアバージョン12.4(15)XZおよび12.4(20)Tで初めて導入されました。
ip inspect name [inspection_name] sipによるSIPインスペクションに対するCisco IOS Firewall CBACのサポートには脆弱性はありません。SIPインスペクションに対するCisco IOS Firewall CBACのサポートについての詳細は、次のリンクのドキュメント『Firewall Support for SIP』を参照してください。http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_fwall_sip_supp.html
Cisco IOS Zone-Based Policy Firewall SIPインスペクションの詳細については、次のリンクのドキュメント『Cisco IOS Firewall: SIP Enhancements: ALG and AIC』を参照してください。http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html
この脆弱性は、Cisco Bug ID CSCsr18691 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-2867が割り当てられています。
回避策
この脆弱性の唯一の回避策は、該当デバイスの設定でCisco IOSゾーンベースポリシーファイアウォールのSIPインスペクションを無効にすることです。SIPインスペクションを無効にすると、ソフトウェアアップグレードを実装できるまで、ファイアウォールの残りの機能を引き続き使用できます。その他のファイアウォール機能は、引き続き正常に動作します。SIPインスペクションの無効化は、SIPインスペクションファイアウォールの実装によって異なります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.0 ベースのリリースはありません。 |
||
|
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.1 ベースのリリースはありません。 |
||
|
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
影響を受ける 12.2 ベースのリリースはありません。 |
||
|
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.3 ベースのリリースはありません。 |
||
|
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.4(20)Tより前のリリースには脆弱性はありません。 12.4(20)T2 12.4(22)T1 12.4(24)T |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.4T) |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
|
12.4(22)YB4 |
12.4(22)YB4 12.4(22)YB5(2009年10月19日に入手可能) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、シスコ内部でのテストによって発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2009年9月23日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。