Cisco IOSソフトウェアIPSおよびゾーンベースファイアウォールの脆弱性

脆弱性のあるバージョンのCisco IOSソフトウェアを実行しているCisco IOSデバイスは、Cisco IOS IPSおよびCisco IOS Zone-Based Firewallの2つの脆弱性の影響を受けます。2つの脆弱性は互いに独立しています。影響を受ける設定を確認するための詳細を次に示します。

• Cisco IOSソフトウェアのメモリリーク
  Cisco IOS IPSまたはCisco IOS Zone-Based Firewall（あるいはその両方）に設定されたデバイスでは、新しいセッションが大量に作成され、そのデバイスを通過する際にメモリリークが発生する可能性があります。
  デバイスでCisco IOS IPSが設定されているかどうかを確認するには、デバイスにログインして、show ip ips interfaces CLIコマンドを発行します。出力に、インバウンドまたはアウトバウンド方向セットのいずれかのIPSルールが示されている場合、そのデバイスには脆弱性が存在します。次の例は、インバウンド方向のインターフェイスGigabit Ethernet 0/0にIPSルールが設定されたデバイスを示しています。
  

  Router#show ip ips interfaces
      Interface Configuration
        Interface GigabitEthernet0/0
          Inbound IPS rule is example_ips_rule
          Outgoing IPS rule is not set
  Router#

  Cisco IOS IPSが設定されていないデバイスは、ブランク行を返します。次の例は、Cisco IOS IPSが設定されていないデバイスを示しています。
  

  Router#show ip ips interfaces
  
  Router#
  

  デバイスでゾーンベースファイアウォールが設定されているかどうかを確認するには、デバイスにログインしてshow zone security CLIコマンドを発行します。出力のゾーン名の下にメンバーインターフェイスが表示されている場合、そのデバイスには脆弱性が存在します。この例では、GigabitEthernet0/0とGigabitEthernet0/1の両方でゾーンベースファイアウォール規則が設定されたデバイスを示しています
  

  Router#show zone security
  zone self
    Description: System defined zone
  
  
  zone inside
    Description: *** Inside Network ***
    Member Interfaces:
      GigabitEthernet0/0
  
  
  zone outside
    Description: *** Outside Network ***
    Member Interfaces:
      GigabitEthernet0/1
  
  
  Router#

  注：実行されているパケットインスペクションのタイプに関係なく、ゾーンベースファイアウォールが設定されているデバイスには脆弱性が存在します。
• 巧妙に細工されたHTTPパケットを処理する際のCisco IOSソフトウェアのDoS
  デバイスは、次の状況で設定されると脆弱になります。
  - HTTP Layer 7 Application Control and InspectionおよびCisco IOS IPSが有効になっている。
  - HTTPクラスマップ上のmatch request arg regexパラメータを使用したHTTPレイヤ7アプリケーション制御および検査。この設定は、Cisco IOS IPSが有効かどうかに関係なく影響を受けます。
  
  
  そのデバイスは、他の設定では脆弱ではありません。さまざまな設定と、この脆弱性によるそれらの影響の概要を次に示します。
  
  

  デバイスの設定	該当する、または該当しない
  Cisco IOS IPSのみ有効	Not affected
  Cisco IOS IPSを有効にしたHTTPレイヤ4ステートフルインスペクション	Not affected
  Cisco IOS IPSが無効な場合のHTTPレイヤ4ステートフルインスペクション	Not affected
  Cisco IOS IPSを有効にしたHTTPレイヤ7アプリケーション制御および検査	該当
  match arg regexパラメータを使用したHTTPレイヤ7アプリケーション制御および検査。Cisco IOS IPSを有効にした場合と無効にした場合の両方。	該当
  match arg regexパラメータのないHTTPレイヤ7アプリケーション制御および検査。Cisco IOS IPSを有効にした場合と無効にした場合の両方。	Not affected

  次の例は、HTTPレイヤ7アプリケーション制御およびインスペクションが設定され、Cisco IOS IPSが有効になっている該当デバイスを示しています。

  !
  ip ips name myips
  !
  ip ips signature-category
    category all
     retired true
    category ios_ips basic
     retired false
  !
  !
  class-map type inspect match-any layer4-classmap
   match protocol http
  !
  class-map type inspect http match-any layer7-classmap
    match  request arg length gt 15
  !
  !
  policy-map type inspect http layer7-policymap
   class type inspect http layer7-classmap
    reset
    log
  policy-map type inspect layer4-policymap
   class type inspect layer4-classmap
    inspect
    service-policy http layer7-policymap
   class class-default
    drop
  !
  zone security inside
   description ** Inside Network **
  zone security outside
   description ** Outside Network **
  zone-pair security in2out source inside destination outside
   description ** Zone Pair - inside to outside **
   service-policy type inspect layer4-policymap
  !
  !
  interface GigabitEthernet0/0
   ip address 192.168.0.6 255.255.255.0
   ip ips myips in
   zone-member security inside
  !
  interface GigabitEthernet0/1
   ip address 192.168.1.1 255.255.255.0
   zone-member security outside
  !

  次の例は、HTTPクラスマップ上のmatch request arg regexパラメータを使用してHTTPレイヤ7アプリケーション制御およびインスペクションが設定されている該当デバイスを示しています。
  

  !
  parameter-map type regex example
   pattern [^\x00-\x80]
  !
  class-map type inspect match-any layer4-classmap
   match protocol http
  !
  class-map type inspect http match-any layer7-classmap
   match  request arg regex example
  !
  !
  policy-map type inspect http layer7-policymap
   class type inspect http layer7-classmap
    reset
    log
  policy-map type inspect layer4-policymap
   class type inspect layer4-classmap
    inspect
    service-policy http layer7-policymap
   class class-default
    drop
  !
  zone security inside
   description ** Inside Network **
  zone security outside
   description ** Outside Network **
  zone-pair security in2out source inside destination outside
   description ** Zone Pair - inside to outside **
   service-policy type inspect layer4-policymap
  !
  interface GigabitEthernet0/0
   ip address 192.168.0.6 255.255.255.0
   zone-member security inside
  !
  interface GigabitEthernet0/1
   ip address 192.168.1.1 255.255.255.0
   zone-member security outside
  !

シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。

次の例は、シスコ製品がCisco IOSソフトウェアリリース15.0(1)M1を実行し、インストールされているイメージ名がC3900-UNIVERSALK9-Mであることを示しています。

Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 17:17 by prod_rel_team

!--- output truncated

Cisco IOSソフトウェアのリリース命名規則の追加情報は、ホワイトペーパー『Cisco IOS and NX-OS Software Reference Guide』(http://www.cisco.com/web/about/security/intelligence/ios-ref.html)を参照してください。

次の製品には脆弱性が存在しないことが確認されています。

• Cisco PIX 500シリーズファイアウォール
• Cisco ASA 5500シリーズ適応型セキュリティアプライアンス
• Catalyst 6500シリーズスイッチおよび7600シリーズルータ用ファイアウォールサービスモジュール(FWSM)
• Cisco XR 12000シリーズルータのマルチサービスブレード(MSB)上の仮想ファイアウォール(VFW)アプリケーション
• Cisco ACE アプリケーション コントロール エンジン モジュール
• 従来のCisco IOS Firewallサポートが設定されたCisco IOSデバイス
• Cisco IOS XR ソフトウェア
• Cisco IOS XE ソフトウェア
• Cisco IPSアプライアンス
• Cisco Catalyst 6500シリーズASAサービスモジュール
• コンテンツベースアクセスコントロール(CBAC)

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。