High
High
アドバイザリーID : cisco-sa-20160323-lisp
初公開日 : 2016-03-23 16:00
バージョン 1.0 : Final
CVSSスコア :
7.8
回避策 :
No workarounds available
Cisco バグ ID : CSCuv11993
CSCuu64279
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Catalyst 6500および6800シリーズスイッチで稼働するCisco IOSソフトウェアと、M1シリーズギガビットイーサネットモジュールを搭載したCisco Nexus 7000およびNexus 7700シリーズスイッチで稼働するCisco NX-OSソフトウェアのLocator/ID Separation Protocol(LISP)における脆弱性により、認証されていないリモート攻撃者が脆弱性のあるデバイスをリロードする可能性があります。
この脆弱性は、不正なLISPパケットヘッダーが受信されたときに適切な入力検証が行われないことに起因します。 攻撃者は、UDPポート4341で不正なLISPパケットを送信することにより、この脆弱性を不正利用する可能性があります。 不正利用により、攻撃者はサービス拒否(DoS)状態を引き起こす可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-lisp
このアドバイザリは、2016年3月23日に公開された6件の脆弱性に関するCisco Security Advisoryを含むCisco IOSソフトウェアおよびIOS XEソフトウェアのセキュリティアドバイザリバンドルの一部です。すべての脆弱性のセキュリティ影響評価は「高」です。 アドバイザリとそのリンクの一覧については、『Cisco Event Response: Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication』を参照してください。
この脆弱性は、不正なLISPパケットヘッダーが受信されたときに適切な入力検証が行われないことに起因します。 攻撃者は、UDPポート4341で不正なLISPパケットを送信することにより、この脆弱性を不正利用する可能性があります。 不正利用により、攻撃者はサービス拒否(DoS)状態を引き起こす可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-lisp
このアドバイザリは、2016年3月23日に公開された6件の脆弱性に関するCisco Security Advisoryを含むCisco IOSソフトウェアおよびIOS XEソフトウェアのセキュリティアドバイザリバンドルの一部です。すべての脆弱性のセキュリティ影響評価は「高」です。 アドバイザリとそのリンクの一覧については、『Cisco Event Response: Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication』を参照してください。
該当製品
脆弱性のある製品
Cisco IOSソフトウェアが稼働するCisco Catalyst 6500および6800シリーズスイッチ、Cisco NX-OSソフトウェアが稼働するM1シリーズギガビットイーサネットモジュールを搭載したCisco Nexus 7000およびNexus 7700シリーズスイッチには、LISPの設定時に脆弱性が存在します。LISPはいずれのプラットフォームでもデフォルトで有効になっていません。
脆弱性が存在するCisco IOSソフトウェアおよびNX-OSソフトウェアのバージョンについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco Catalyst 6500および6800シリーズスイッチ
LISPのサポートは、リリース15.1(1)SY1で初めて導入されました。 デバイスでLISPが設定されているかどうかを確認するには、show running-config | include lispコマンドを使用して、router lispが設定されているかどうかを確認できます。次に例を示します。
シスコ製品で実行されているCisco IOSソフトウェアリリースは、管理者がデバイスにログインして、show versionコマンドを発行することによりシステムバナーを表示することにより確認できます。デバイスが Cisco IOS ソフトウェアを実行している場合、システム バナーに「Cisco Internetwork Operating System Software」や「Cisco IOS Software」などのテキストが表示されます。カッコ内にイメージ名が表示され、その後ろに Cisco IOS ソフトウェアのリリース番号とリリース名が続きます。
次の例は、シスコ製品でCisco IOSソフトウェアリリース15.2(1)SY1が稼働し、インストールされているイメージ名がc6880x-ADVENTERPRISEK9-Mであることを示しています。
Nexus 7000 および 7700 シリーズ スイッチ
Nexus 7000および7700シリーズスイッチでは、ソフトウェアリリース5.2(1)でLISPのサポートが追加されました。 LISPが設定されたNexus 7000および7700シリーズスイッチは、LISPパケットがM1シリーズギガビットイーサネットモジュールで入力されている場合にのみ脆弱です。show moduleを使用します。 | include M1コマンドを使用して、M1モジュールがNexus 7000シャーシにインストールされているかどうかを確認します。次に例を示します。
Cisco NX-OSソフトウェアリリースの確認
Cisco Nexus 7000シリーズスイッチで実行されているCisco NX-OSソフトウェアリリースは、管理者がデバイスにログインして、show versionコマンドを発行することにより確認できます。 次の例は 6.2(14) リリースを示しています。
脆弱性が存在するCisco IOSソフトウェアおよびNX-OSソフトウェアのバージョンについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco Catalyst 6500および6800シリーズスイッチ
LISPのサポートは、リリース15.1(1)SY1で初めて導入されました。 デバイスでLISPが設定されているかどうかを確認するには、show running-config | include lispコマンドを使用して、router lispが設定されているかどうかを確認できます。次に例を示します。
iosRouter# show running-config | include lispCisco IOS ソフトウェア リリースの判別
router lisp
シスコ製品で実行されているCisco IOSソフトウェアリリースは、管理者がデバイスにログインして、show versionコマンドを発行することによりシステムバナーを表示することにより確認できます。デバイスが Cisco IOS ソフトウェアを実行している場合、システム バナーに「Cisco Internetwork Operating System Software」や「Cisco IOS Software」などのテキストが表示されます。カッコ内にイメージ名が表示され、その後ろに Cisco IOS ソフトウェアのリリース番号とリリース名が続きます。
次の例は、シスコ製品でCisco IOSソフトウェアリリース15.2(1)SY1が稼働し、インストールされているイメージ名がc6880x-ADVENTERPRISEK9-Mであることを示しています。
iosRouter# show versionCisco IOSソフトウェアのリリース命名規則の追加情報は、『White Paper: Cisco IOS and NX-OS Software Reference Guide』で確認できます。
Cisco IOS Software, c6880x Software (c6880x-ADVENTERPRISEK9-M), Version 15.2(1)SY1, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 11-May-15 00:26 by prod_rel_team
.
.
.
Nexus 7000 および 7700 シリーズ スイッチ
Nexus 7000および7700シリーズスイッチでは、ソフトウェアリリース5.2(1)でLISPのサポートが追加されました。 LISPが設定されたNexus 7000および7700シリーズスイッチは、LISPパケットがM1シリーズギガビットイーサネットモジュールで入力されている場合にのみ脆弱です。show moduleを使用します。 | include M1コマンドを使用して、M1モジュールがNexus 7000シャーシにインストールされているかどうかを確認します。次に例を示します。
nxosRouter# show module | include M1M1シリーズギガビットイーサネットモジュールがインストールされている場合、このモジュールに設定されたインターフェイスにLISPパケットが入力されている場合にのみ脆弱になります。LISP機能が有効になっているかどうかを確認するには、show feature | include lispコマンドを使用します。
3 48 10/100/1000 Mbps Ethernet XL Module N7K-M148GT-11L powered-up
nxosRouter# show feature | include lispshow ip lispコマンドは、M1インターフェイスのLISP設定を確認するために使用できます。
lisp 1 enabled
nxosRouter# show ip lispNexus 7000および7700シリーズスイッチのLISP設定の詳細については、『Locator/ID Separation Protocolの設定』を参照してください。
LISP IP Configuration Information for VRF "default" (iid 1)
Ingress Tunnel Router (ITR):enabled
Egress Tunnel Router (ETR):disabled
Proxy-ITR Router (PTR):disabled
Proxy-ETR Router (PETR):disabled
Map Resolver (MR):disabled
Map Server (MS):disabled
LISP Multicast:disabled
.
.
.
Cisco NX-OSソフトウェアリリースの確認
Cisco Nexus 7000シリーズスイッチで実行されているCisco NX-OSソフトウェアリリースは、管理者がデバイスにログインして、show versionコマンドを発行することにより確認できます。 次の例は 6.2(14) リリースを示しています。
nxosRouter# show version
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license. Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or the GNU
Lesser General Public License (LGPL) Version 2.1. A copy of each
such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://www.opensource.org/licenses/lgpl-2.1.php
Software
BIOS: version 2.12.0
kickstart: version 6.2(14)
system: version 6.2(14)
.
.
.
注:次のCisco M1シリーズギガビットイーサネットモジュールシリーズモジュールは、Cisco NX-OSリリース7.3(0)D1(1)以降サポートされていません。
- N7K-M148GT-11
- N7K-M132XP-12
- N7K-M148GS-11
詳細については、『Cisco Nexus 7000シリーズNX-OSリリースノート、リリース7.3』の「サポート対象外のハードウェア」セクションを参照してください。
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
シスコは、この脆弱性がCisco IOS-XRおよびCisco IOS-XEには影響を与えないことを確認しました。
Cisco 7600シリーズルータはこの脆弱性の影響を受けません。
シスコは、この脆弱性がCisco IOS-XRおよびCisco IOS-XEには影響を与えないことを確認しました。
Cisco 7600シリーズルータはこの脆弱性の影響を受けません。
詳細
LISPネットワークアーキテクチャおよびプロトコルは、2つの新しい名前空間を作成することによって、IPアドレッシングの新しいセマンティックを実装します。エンドポイント識別子(EID)はエンドホストに割り当てられ、ルーティングロケータ(RLOC)はグローバルルーティングシステムを構成するデバイス(主にルータ)に割り当てられます。EIDおよびRLOC機能を分割することで、ルーティングシステムの拡張性、マルチホーミングの効率性、および入力トラフィックエンジニアリングが向上します。LISPエンドサイトサポートは、Ciscoルータなどのデバイスで設定します。この脆弱性は、該当するインターフェイスでLISPパケットが入力されるあらゆるタイプのLISP設定に存在します。
Cisco Catalyst 6500および6800シリーズスイッチと、M1シリーズギガビットイーサネットモジュール搭載のCisco Nexus 7000および7700シリーズスイッチは、共通のASICを共有しており、不正なLISPパケットを受信するとクラッシュする可能性があります。この脆弱性を不正利用するには、LISPパケットの宛先がUDPポート番号4341(LISPの既知のポート番号)である必要があります。また、UDP LISPヘッダーの形式が正しくなく、ヘッダー長が正しくない必要があります。
Cisco Catalyst 6500および6800シリーズスイッチでは、この脆弱性によりデバイスが完全にリロードされます。M1シリーズギガビットイーサネットモジュールがインストールされたCisco Nexus 7000および7700シリーズスイッチでは、M1モジュール自体がリロードされますが、シャーシの他の部分は安定しています。
Cisco Catalyst 6500および6800シリーズスイッチと、M1シリーズギガビットイーサネットモジュール搭載のCisco Nexus 7000および7700シリーズスイッチは、共通のASICを共有しており、不正なLISPパケットを受信するとクラッシュする可能性があります。この脆弱性を不正利用するには、LISPパケットの宛先がUDPポート番号4341(LISPの既知のポート番号)である必要があります。また、UDP LISPヘッダーの形式が正しくなく、ヘッダー長が正しくない必要があります。
Cisco Catalyst 6500および6800シリーズスイッチでは、この脆弱性によりデバイスが完全にリロードされます。M1シリーズギガビットイーサネットモジュールがインストールされたCisco Nexus 7000および7700シリーズスイッチでは、M1モジュール自体がリロードされますが、シャーシの他の部分は安定しています。
セキュリティ侵害の痕跡
Cisco Catalyst 6500および6800シリーズスイッチでこの脆弱性が不正利用されると、リセット理由が「EARLリカバリパッチエラー」としてデバイスがリロードされます。
M1シリーズギガビットイーサネットモジュールを搭載したCisco Nexus 7000および7700シリーズスイッチでは、この脆弱性によりリセット理由「Fatal Interrupt Metropolis device error」が表示され、M1モジュールがリロードされます。
Cisco Technical Assistance Center(TAC)は、システムログファイルを確認して、デバイスがこの脆弱性の影響を受けているかどうかを判断します。
M1シリーズギガビットイーサネットモジュールを搭載したCisco Nexus 7000および7700シリーズスイッチでは、この脆弱性によりリセット理由「Fatal Interrupt Metropolis device error」が表示され、M1モジュールがリロードされます。
Cisco Technical Assistance Center(TAC)は、システムログファイルを確認して、デバイスがこの脆弱性の影響を受けているかどうかを判断します。
回避策
この脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
Cisco IOS ソフトウェア
Cisco NX-OS ソフトウェア
この脆弱性は、ソフトウェアバージョン7.3(0)D1(1)で修正されています。Cisco Nexus 7000およびNexus 7700シリーズソフトウェアは、Cisco.comのSoftware Centerからダウンロードできます。http://www.cisco.com/cisco/software/navigator.html にアクセスし、Downloads Home > Products > Switches > Data Center Switches > Nexus 7000 Series Switchesの順に選択します。
http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。
http://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco IOS ソフトウェア
お客様がCisco IOSソフトウェアの脆弱性による侵害の可能性を判断できるように、シスコではCisco IOS Software Checkerツールを提供しています。このツールにより、特定のCisco IOSソフトウェアリリースに影響を与えるシスコセキュリティアドバイザリと、各アドバイザリに記載された脆弱性を修正する最初のリリース(「最初の修正」)を特定できます。該当する場合、このツールは、特定されたすべてのアドバイザリに記載されているすべての脆弱性を修正する最初のリリース(「総合初回修正」)も返します。
このツールを使用して次のタスクを実行できます。
- ドロップダウン メニューからリリース(複数可)を選択するか、分析対象となるローカル システムからファイルをアップロードして、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索(過去に公開されたすべてのシスコ セキュリティ アドバイザリを検索対象に入れたり、特定のアドバイザリのみ、または最新のバンドル資料のすべてのアドバイザリを含めるなど)を作成する
リリースが、公開されたシスコセキュリティアドバイザリのいずれかに該当するかどうかを確認するには、Cisco.comのCisco IOS Software Checkerを使用するか、次のフィールドにCisco IOSソフトウェアリリース(たとえば、15.1(4)M2)を入力します。
Cisco NX-OS ソフトウェア
この脆弱性は、ソフトウェアバージョン7.3(0)D1(1)で修正されています。Cisco Nexus 7000およびNexus 7700シリーズソフトウェアは、Cisco.comのSoftware Centerからダウンロードできます。http://www.cisco.com/cisco/software/navigator.html にアクセスし、Downloads Home > Products > Switches > Data Center Switches > Nexus 7000 Series Switchesの順に選択します。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
この脆弱性は、Cisco TAC によって処理されたカスタマー ケースの解決中に発見されました。
URL
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-lisp
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2016年3月23日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。