High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
- Cisco IOS XEソフトウェアの不正なICMPパケットによるDoS脆弱性
- Cisco IOS XEソフトウェアのPPTPトラフィックにおけるDoS脆弱性
- Cisco IOS XEソフトウェアのTCPセグメント再構成におけるDoS脆弱性
- Cisco IOS XEソフトウェアにおける不正なEoGREパケットによるDoS脆弱性
これらの脆弱性のいずれかが不正利用されると、認証されていないリモートの攻撃者によってEmbedded Services Processor(ESP)カードまたはRoute Processor(RP)カードのリロードが引き起こされ、サービスが中断される可能性があります。
この脆弱性が繰り返し悪用されると、DoS 状態が続く可能性があります。
注:Cisco IOSソフトウェアおよびCisco IOS-XRソフトウェアは、これらの脆弱性の影響を受けません。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131030-asr1000
該当製品
脆弱性のある製品
Cisco IOS XEソフトウェアの不正なICMPパケットによるDoS脆弱性
Cisco IOS XEソフトウェアには、ゾーンベースファイアウォール(ZBFW)によって検査されるTCPまたはUDP接続に属する不正なICMPエラーパケットを処理する際に、該当デバイスのリロードを引き起こす可能性のある脆弱性が存在します。ZBFWはデフォルトでは有効になっていません。
ZBFWがデバイスで設定されているかどうかを確認するには、show policy-map type inspect zone-pair特権EXECコマンドを使用します。show policy-map type inspect zone-pairの出力で、設定されたゾーンペアクラスマップの下にMatch: protocol tcpまたはMatch: protocol udpおよびInspectが存在することは、TCPまたはUDPプロトコルのZBFWインスペクションが設定されていることを示します。
次の出力は、ZBFWとして設定されているCisco IOS XEソフトウェアのshow policy-map type inspect zone-pair用です。
Router#show policy-map type inspect zone-pair
Zone-pair: clients-servers
Service-policy inspect : clients-servers-policy
Class-map: L4-inspect-class (match-any)
Match: protocol tcp
Match: protocol udp
Match: protocol icmp
Inspect
注: ZBFWが設定されたCisco IOSデバイスは、この脆弱性の影響を受けません。 該当するバージョンのCisco IOS XEソフトウェアを実行するCisco ASR 1000シリーズアグリゲーションサービスルータのみが、この脆弱性の影響を受けます。Cisco IOS XEソフトウェアのPPTPトラフィックにおけるDoS脆弱性
Cisco IOS XEソフトウェアには、ネットワークアドレス変換(NAT)およびPPTPアプリケーションレイヤゲートウェイ(ALG)インスペクションを受けるPoint-to-Point Tunneling Protocol(PPTP)パケットの処理中に、該当デバイスがリロードされる可能性のある脆弱性が存在します。攻撃者は、大量のPPTPパケットを送信してNATが設定されたデバイスを通過させることで、この脆弱性を不正利用する可能性があります。
Cisco IOS XEソフトウェアは、該当するデバイスでNATおよびPPTP ALGが有効になっている場合、この脆弱性の影響を受ける可能性があります。これらのサービスはデフォルトでは有効になっていません。
NATが有効な場合、デバイスでPPTP ALGが有効になります。
Cisco IOS XEソフトウェアの設定でNATが有効になっているかどうかを判断するには、ip nat insideまたはip nat outsideコマンドが異なるインターフェイスに存在し、設定に少なくとも1つのip natグローバルコンフィギュレーションコマンドが存在している必要があります。
NAT が設定にあるかどうかを判断するには、脆弱性がある次の設定例に示すように show running-config | include ip natコマンドを使用すると、NATが設定に存在するかどうかを確認できます。脆弱性のある次の設定例を参照してください。
asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1
出力が空の場合、特定のデバイスで実行されているCisco IOS XEソフトウェアリリースには脆弱性はありません。返された出力が空でない場合は、NAT設定でPPTP ALGサービスが明示的に無効になっている可能性があります。NAT設定でPPTP ALGが無効になっているかどうかを確認するには、show run | include ip nat 特権 EXEC コマンドを使用します。no ip nat service pptpがshow run | include ip natコマンドの実行結果に出力される場合は、NAT設定でPPTP ALGが無効になっていることを意味しています。
show runの出力を次に示します | include ip natコマンドを、NAT設定でPPTP ALGが無効になっているCisco IOS XEソフトウェアで実行した場合の出力例を示します。
asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1
no ip nat service pptp
注:NAT設定でPPTP ALGを無効にするコンフィギュレーションコマンドは、Cisco IOS XEソフトウェアバージョン3.9以降で使用できます。Cisco IOS XEソフトウェアバージョン3.9より前では、NAT設定でPPTP ALGを無効にする機能はありません。
PPTP ALGインスペクションが設定されているCisco IOSデバイスは、この脆弱性の影響を受けません。 該当するバージョンのCisco IOS XEソフトウェアを実行するCisco ASR 1000シリーズアグリゲーションサービスルータのみが、この脆弱性の影響を受けます。
Cisco IOS XEソフトウェアのTCPセグメント再構成におけるDoS脆弱性
Cisco IOS XEソフトウェアには脆弱性があり、ネットワークアドレス変換(NAT)を受けるセグメント化されたTCPパケットを処理する際に、該当するデバイスがリロードされる可能性があります。攻撃者は、NATが設定されたデバイスを通過する際に、セグメントの再構成が完了した後に大きなTCPパケットを送信することで、この脆弱性を不正利用する可能性があります。
NATが有効な場合、TCPリアセンブルが有効になります。
Cisco IOS XEソフトウェアの設定でNATが有効になっているかどうかを判断するには、ip nat insideまたはip nat outsideコマンドが異なるインターフェイスに存在し、設定に少なくとも1つのip natグローバルコンフィギュレーションコマンドが存在している必要があります。
NAT が設定にあるかどうかを判断するには、脆弱性がある次の設定例に示すように show running-config | include ip natコマンドを使用すると、NATが設定に存在するかどうかを確認できます。脆弱性のある次の設定例を参照してください。
asr1004#show running-config | include ip nat
ip nat inside
ip nat outside
ip nat inside source static 192.168.1.100 10.0.0.1
この脆弱性の影響を受けるのは、エンベデッドサービスプロセッサ100(ASR1000-ESP100)を搭載したCisco ASR 1000シリーズアグリゲーションサービスルータとCisco ASR1002-Xシリーズルータのみです。
Cisco ASR 1000デバイスにASR1000-ESP100がインストールされているか、Cisco ASR1002-Xシリーズルータであるかを確認するには、show inventoryコマンドを発行します。ASR1000-ESP100を搭載したCisco ASR 1006ルータで実行されているCisco IOS XEソフトウェアのshow inventoryの出力を次に示します。
asr1006#show inventory
NAME: "Chassis", DESCR: "Cisco ASR1006 Chassis"
PID: ASR1006
NAME: "module F1", DESCR: "Cisco ASR1000 Embedded Services Processor, 10 0Gbps"
PID: ASR1000-ESP10 0
注:NATが設定されているCisco IOSデバイスは、この脆弱性の影響を受けません。 該当するバージョンのCisco IOS XEソフトウェアを実行するCisco ASR 1000シリーズアグリゲーションサービスルータのみが、この脆弱性の影響を受けます。
Cisco IOS XEソフトウェアには、EoGREが設定されたインターフェイス上で、不正なIPバージョン4(IPv4)またはIPバージョン6(IPv6)Ethernet over Generic Routing Encapsulation(EoGRE)パケットを処理しているときに、該当デバイスがリロードされる可能性のある脆弱性が存在します。
EoGREはデフォルトでは有効になっていません。
Cisco IOS XEソフトウェアの設定でEoGREが有効になっているかどうかを判断するには、tunnel mode ethernet gre ipv4またはtunnel mode ethernet gre ipv6コマンドがトンネルインターフェイスの設定に存在し、そのインターフェイスに少なくとも1つのIPアドレスが設定されている必要があります。
NAT が設定にあるかどうかを判断するには、脆弱性がある次の設定例に示すように show running-config | include Tunnel|(tunnel mode|ip address .)コマンドを使用すると、EoGREが設定に存在するかどうかを確認できます。次に、脆弱性のある設定の例を示します。
asr1004#show running-config | include Tunnel|(tunnel mode|ip address .)
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel mode ethernet gre ipv4
注: EoGREが設定されているCisco IOSデバイスは、この脆弱性の影響を受けません。該当するバージョンのCisco IOS XEソフトウェアを実行するCisco ASR 1000シリーズアグリゲーションサービスルータのみが、この脆弱性の影響を受けます。
実行ソフトウェア バージョンの判別
Cisco ASR 1000 シリーズ アグリゲーション サービス ルータの IOS XE リリースは、Cisco IOS ソフトウェア リリースに対応しています。たとえば、Cisco IOS XE Release 3.6.2S は、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータの IOS XE リリース 15.2(2)S2 に対応するソフトウェア リリースです。Cisco IOS XE リリースと関連する Cisco IOS リリースとの対応の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_intro.html
脆弱性のあるバージョンの IOS XE ソフトウェアがデバイスで実行されているかどうかを確認するには、show version コマンドを実行します。以下に、Cisco IOS XE ソフトウェア バージョン 3.6.2S(Cisco IOS ソフトウェア バージョン 15.2 (2) S2 に対応)を実行している場合の例を示します。
asr1004#show version
Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.2(2)S2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 07-Aug-12 13:40 by mcpre
注:Cisco IOS XEソフトウェアイメージは、サブパッケージとも呼ばれる7つの個別モジュールで構成されます。各パッケージは、Cisco IOS XE ソフトウェアの In-Service Software Upgrade(ISSU)機能を使用するよう設計されており、ユーザは、必要なパッケージだけを選択してアップグレードすることができます。Cisco IOS XE ソフトウェア パッケージの詳細については、次を参照してください。
http://www.cisco.com/en/US/partner/prod/collateral/routers/ps9343/product_bulletin_c25-448387.html
パッケージが個別にアップグレードされる場合、show versionコマンドの出力は異なる場合があります。
脆弱性を含んでいないことが確認された製品
1000シリーズアグリゲーションサービスルータ用のCisco IOS XEソフトウェアを除き、他のシスコ製品においてこれらの脆弱性の影響を受けるものは現在確認されていません。
詳細
Cisco IOS XEソフトウェアの不正なICMPパケットによるDoS脆弱性
Cisco IOS XEソフトウェアのゾーンベースファイアウォール(ZBFW)TCPまたはUDPインスペクション機能の脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、その結果、サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、ZBFWによって検査されるTCPまたはUDP接続に属する脆弱なデバイスを通過する不正なICMPエラーパケットの不適切な処理に起因します。攻撃者は、検査対象のTCPまたはUDPセッションに属する多数の不正なICMPエラーパケットを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、その結果DoS状態が発生する可能性があります。
この脆弱性は、Cisco Bug ID CSCtt26470(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-5543が割り当てられています。
Cisco IOS XEソフトウェアのPPTPトラフィックにおけるDoS脆弱性
Cisco IOS XEソフトウェアのPPTP ALG機能における脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、その結果、サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、Cisco IOS XEソフトウェアのNAT機能の一部として検査されるPPTPパケットの不適切な処理に起因します。攻撃者は、NATが設定された脆弱なシステムを通過するために大量のPPTPパケットを送信することで、この脆弱性を不正利用する可能性があります。
エクスプロイトに成功すると、攻撃者はシステムのリロードを引き起こし、その結果DoS状態が発生する可能性があります。この脆弱性が繰り返し悪用されると、DoS 状態が続く可能性があります。
この脆弱性は、Cisco Bug ID CSCuh19936(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-5545が割り当てられています。
Cisco IOS XEソフトウェアのTCPセグメント再構成におけるDoS脆弱性
Cisco IOS XEソフトウェアのTCPセグメント再構成における脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、その結果、サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、該当デバイスのNATおよびALG機能によって処理されている大規模なTCP再構成パケットの不適切な処理に起因します。攻撃者は、リアセンブル後に大きなTCPパケットを送信して脆弱なデバイスを通過させることで、この脆弱性を不正利用する可能性があります。NATおよびALG機能によって処理されるパケットだけが、該当するデバイスのリロードを引き起こす可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、その結果DoS状態が発生する可能性があります。
この脆弱性は、Cisco Bug ID CSCud72509(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-5546が割り当てられています。
Cisco IOS XEソフトウェアにおける不正なEoGREパケットによるDoS脆弱性
Cisco IOS XEソフトウェアのEoGRE機能における脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、その結果、サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、不正なEoGREパケットの不適切な処理に起因します。攻撃者は、EoGREインターフェイスが設定された該当デバイスに不正なIPv4またはIPv6 EoGREパケットを送信することで、この脆弱性を不正利用する可能性があります。この脆弱性は、不正なEoGREパケットを送信して脆弱性のあるシステムを通過させることで不正利用されることはありません。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、その結果DoS状態が発生する可能性があります。
この脆弱性は、Cisco Bug ID CSCuf08269(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-5547が割り当てられています。
回避策
これらの脆弱性を軽減する回避策はありません。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
各Cisco IOS XEソフトウェアリリースは、標準サポートリリースまたは拡張サポートリリースのいずれかに分類されます。標準サポートリリースでは、エンジニアリングサポートの有効期間は1年で、リビルドは2回計画されています。延長サポートリリースでは、エンジニアリングサポートのライフタイムが合計2年、リビルドが4回計画されています。
Cisco IOS XEソフトウェアのサポート終了ポリシーおよび特定のCisco IOS XEソフトウェアリリースに関する関連サポートのマイルストーンの詳細については、次を参照してください。
Cisco IOS XEソフトウェアのサポートスケジュールIOS XE 3.9SおよびCisco IOS XEソフトウェアのサポートスケジュールCisco IOS XEソフトウェアリリース3.10S以降
Cisco IOS XEソフトウェアの不正なICMPパケットによるDoS脆弱性
| 脆弱性 | メジャー リリース |
拡張リリース | First Fixed Release(修正された最初のリリース) |
| 0.CSCtt26470 |
2.x | - |
Not affected |
| 3.1 | Yes | Not affected | |
| 3.2 | いいえ |
Not affected |
|
| 3.3 | いいえ |
Not affected | |
| 3.4 | Yes |
3.4.2S | |
| 3.5 | いいえ |
3.5.1S |
|
| 3.6 | いいえ | Not affected |
|
| 3.7 | Yes |
Not affected |
|
| 3.8 | いいえ | Not affected |
|
| 3.9 | いいえ | Not affected | |
| 3.10 | Yes | Not affected | |
Cisco IOS XEソフトウェアのPPTPトラフィックにおけるDoS脆弱性
| 脆弱性 | メジャー リリース |
拡張リリース | First Fixed Release(修正された最初のリリース) | |
| 0.CSCuh19936 |
2.x | - |
Not affected |
|
| 3.1 | Yes | Not affected | ||
| 3.2 | いいえ |
Not affected |
||
| 3.3 | いいえ |
Not affected | ||
| 3.4 | Yes |
Not affected |
||
| 3.5 | いいえ |
Not affected |
||
| 3.6 | いいえ | Not affected |
||
| 3.7 | Yes |
Not affected |
||
| 3.8 | いいえ | Not affected |
||
| 3.9 | いいえ | 3.9.2S | ||
| 3.10 | Yes | Not affected | ||
Cisco IOS XEソフトウェアのTCPセグメント再構成におけるDoS脆弱性
| 脆弱性 | メジャー リリース |
拡張リリース | First Fixed Release(修正された最初のリリース) | |
| 0.CSCud72509 |
2.x | - |
Not affected |
|
| 3.1 | Yes | Not affected | ||
| 3.2 | いいえ |
Not affected |
||
| 3.3 | いいえ |
Not affected | ||
| 3.4 | Yes |
Not affected | ||
| 3.5 | いいえ |
Not affected |
||
| 3.6 | いいえ | Not affected |
||
| 3.7 | Yes |
3.7.3S | ||
| 3.8 | いいえ | 3.8.1S |
||
| 3.9 | いいえ | Not affected | ||
| 3.10 | Yes | Not affected | ||
Cisco IOS XEソフトウェアにおける不正なEoGREパケットによるDoS脆弱性
| 脆弱性 | メジャー リリース |
拡張リリース | First Fixed Release(修正された最初のリリース) | |
| 0.CSCuf08269 |
2.x | - |
Not affected |
|
| 3.1 | Yes | Not affected | ||
| 3.2 | いいえ |
Not affected |
||
| 3.3 | いいえ |
Not affected | ||
| 3.4 | Yes |
Not affected | ||
| 3.5 | いいえ |
Not affected |
||
| 3.6 | いいえ | Not affected |
||
| 3.7 | Yes |
Not affected |
||
| 3.8 | いいえ | Not affected |
||
| 3.9 | いいえ | 3.9.2S | ||
| 3.10 | Yes | Not affected | ||
推奨リリース
推奨リリースの表に、このアドバイザリの公開時点で公開済みのすべての脆弱性に対する修正が含まれているリリースを示します。次の表に示すリリース以降にアップグレードすることを推奨します。
|
影響を受けるリリース |
推奨リリース |
拡張リリース |
| 2.x | 脆弱性なし |
- |
| 3.1 | 脆弱性なし |
Yes |
| 3.2 | 脆弱性なし |
いいえ |
| 3.3 | 脆弱性なし |
いいえ |
| 3.4 | 3.4.2S |
Yes |
| 3.5 | 3.5.1S |
いいえ |
| 3.6 | 脆弱性なし |
いいえ |
| 3.7 | 3.7.3S | Yes |
| 3.8 | 3.8.1S | いいえ |
| 3.9 | 3.9.2S | いいえ |
| 3.10 | 脆弱性なし |
Yes |
推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
Cisco IOS XEソフトウェアにおける不正なICMPパケットによるDoS脆弱性と、Cisco IOS XEソフトウェアにおけるTCPセグメント再構成によるDoS脆弱性は、カスタマーサポートケースの解決中に発見されました。
このセキュリティアドバイザリに記載されているその他の脆弱性は、シスコ内部でのセキュリティテストによって発見されたものです。
URL
改訂履歴
| リビジョン 1.0 | 2013年10月30日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。