Critical
Critical
アドバイザリーID : cisco-sa-20161005-otv
初公開日 : 2016-10-05 16:00
バージョン 1.0 : Final
CVSSスコア :
10.0
回避策 :
Yes
Cisco バグ ID : CSCuy95701
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Nexus 7000および7700シリーズスイッチのOverlay Transport Virtualization(OTV)Generic Routing Encapsulation(GRE)実装における脆弱性により、認証されていない隣接する攻撃者が該当システムのリロードを引き起こしたり、リモートからコードを実行したりする可能性があります。
この脆弱性は、OTVパケットヘッダーパラメータのサイズに対して実行される不完全な入力検証に起因し、これによりバッファオーバーフローが発生する可能性があります。攻撃者は、該当デバイスのOTVインターフェイスに巧妙に細工されたOTV UDPパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は任意のコードを実行してシステムのフルコントロールを取得したり、該当デバイスでOTV関連プロセスのリロードを引き起こしたりする可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性を軽減する回避策があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv
この脆弱性は、OTVパケットヘッダーパラメータのサイズに対して実行される不完全な入力検証に起因し、これによりバッファオーバーフローが発生する可能性があります。攻撃者は、該当デバイスのOTVインターフェイスに巧妙に細工されたOTV UDPパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は任意のコードを実行してシステムのフルコントロールを取得したり、該当デバイスでOTV関連プロセスのリロードを引き起こしたりする可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性を軽減する回避策があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv
該当製品
脆弱性のある製品
次のシスコ製品は、OTV機能を使用するように設定されている場合、この脆弱性の影響を受けます。
NexusデバイスがOTV機能を使用するように設定されているかどうかを確認するには、管理者がNX-OS CLIでshow running | include otvコマンドを使用して、機能が有効になっていることを確認します。 次の例は、Nexus 7700シリーズスイッチで有効になっているOTV機能を示しています。
- Nexus 7000 シリーズ スイッチ
- Nexus 7700 シリーズ スイッチ
NexusデバイスがOTV機能を使用するように設定されているかどうかを確認するには、管理者がNX-OS CLIでshow running | include otvコマンドを使用して、機能が有効になっていることを確認します。 次の例は、Nexus 7700シリーズスイッチで有効になっているOTV機能を示しています。
デバイスがCisco NX-OSソフトウェアの脆弱なリリースを実行しているかどうかを確認するには、管理者がNX-OSのCLIでshow versionコマンドを使用します。次に、Cisco NX-OSソフトウェアリリース6.2(14)を実行しているNexus 7000シリーズスイッチのこのコマンドの出力例を示します。nxos-switch# show running-config | include otv
feature otv
otv join-interface ...
nxos-switch#
nxos-switch# show version
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Documents:
http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license. Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or the GNU
Lesser General Public License (LGPL) Version 2.1. A copy of each
such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://www.opensource.org/licenses/lgpl-2.1.php
Software
BIOS: version 2.12.0
kickstart: version 6.2(14)
system: version 6.2(14)
.
.
.
脆弱性を含んでいないことが確認された製品
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- マルチレイヤ ディレクタ スイッチ
- Nexus 1000 シリーズ スイッチ
- Nexus 2000 シリーズ ファブリック エクステンダ
- Nexus 3000 シリーズ スイッチ
- Nexus 3500 シリーズ スイッチ
- Nexus 4000 シリーズ スイッチ
- Nexus 5000 シリーズ スイッチ
- NX OS モードの Nexus 9000 シリーズ スイッチ
- ACIモードのNexus 9000シリーズスイッチ
- ユニファイド コンピューティング システム(UCS)6100 シリーズ ファブリック インターコネクト
- ユニファイド コンピューティング システム(UCS)6200 シリーズ ファブリック インターコネクト
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
セキュリティ侵害の痕跡
この脆弱性が不正利用されると、該当デバイスがリロードされ、Intermediate System-to-Intermediate System(ISIS)コアファイルが生成される可能性があります。管理者は、NX-OSのCLIでshow coreコマンドを使用して、ISISコアファイルを表示できます。Cisco Technical Assistance Center(TAC)に連絡してISISコアファイルを確認し、この脆弱性の不正利用によってデバイスが侵害されていないかどうかを確認してください。
回避策
不正なOTV制御パケットをドロップするように、次のアクセスコントロールリスト(ACL)を設定できます。
このACLの回避策を適用する際には、次の点に注意してください。IP access list OTV_PROT_V1
10 deny udp any any fragments
20 deny udp any any eq 8472 packet-length lt 54
30 permit ip any any
- deny udp fragmentはACLの最初の行にする必要があります。
- シーケンス10 ~ 20と20 ~ 30の間の例では、シーケンス10または20と矛盾しない限り、他のアクセスコントロールエントリ(ACE)を追加できます。
- OTV参加インターフェイスの入力ACLでACLを設定する必要がある
- この例では、宛先アドレスとしてanyの代わりに、OTVインターフェイスIPアドレスを持つACEが複数存在することがあります。
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。このようなソフトウェアアップグレードをインストール、ダウンロード、アクセス、またはその他の方法で使用することにより、お客様はシスコのソフトウェアライセンスhttp://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.htmlの条項に従うことに同意したことになります。
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)に連絡してアップグレードを入手してください。
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
この項の該当する表に示すように、適切なリリースにアップグレードする必要があります。本アドバイザリは以下のアドバイザリを含むコレクションの一部です。これらも考慮した上、完全なアップグレード ソリューションを確認してください。
cisco-sa-20161005-bgp:Cisco NX-OS Border Gateway ProtocolのDoS脆弱性
cisco-sa-20161005-dhcp1:Cisco NX-OSソフトウェアにおける巧妙に細工されたDHCPv4パケットによるDoS脆弱性
cisco-sa-20161005-dhcp2:Cisco NX-OSソフトウェアにおける不正なDHCPv4パケットによるDoS脆弱性
cisco-sa-20161005-nxaaa:Cisco NX-OSソフトウェアベースの製品における認証、許可、およびアカウンティング(AAA)バイパスの脆弱性
cisco-sa-20161005-otv:Cisco Nexus 7000および7700シリーズスイッチのオーバーレイトランスポート仮想化によるバッファオーバーフローの脆弱性
次の表では、左の列に、Cisco NX-OS ソフトウェアのメジャー リリースを示します。中央の列が示すのは、本アドバイザリに記載された脆弱性によるメジャー リリースへの影響の有無、また、本脆弱性に対する修正を含む最初のマイナー リリースです。右の列は、メジャー リリースがこのコレクションのアドバイザリに記載した何らかの脆弱性に該当するかどうか、また、これらすべての脆弱性に対する修正を含む最初のリリースを示します。
リリースに関する推奨事項
Cisco Nexusスイッチに最適なCisco NX-OSソフトウェアリリースの判別に関する詳細については、スイッチの推奨リリースに関するドキュメントを参照してください。
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)に連絡してアップグレードを入手してください。
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
この項の該当する表に示すように、適切なリリースにアップグレードする必要があります。本アドバイザリは以下のアドバイザリを含むコレクションの一部です。これらも考慮した上、完全なアップグレード ソリューションを確認してください。
cisco-sa-20161005-bgp:Cisco NX-OS Border Gateway ProtocolのDoS脆弱性
cisco-sa-20161005-dhcp1:Cisco NX-OSソフトウェアにおける巧妙に細工されたDHCPv4パケットによるDoS脆弱性
cisco-sa-20161005-dhcp2:Cisco NX-OSソフトウェアにおける不正なDHCPv4パケットによるDoS脆弱性
cisco-sa-20161005-nxaaa:Cisco NX-OSソフトウェアベースの製品における認証、許可、およびアカウンティング(AAA)バイパスの脆弱性
cisco-sa-20161005-otv:Cisco Nexus 7000および7700シリーズスイッチのオーバーレイトランスポート仮想化によるバッファオーバーフローの脆弱性
次の表では、左の列に、Cisco NX-OS ソフトウェアのメジャー リリースを示します。中央の列が示すのは、本アドバイザリに記載された脆弱性によるメジャー リリースへの影響の有無、また、本脆弱性に対する修正を含む最初のマイナー リリースです。右の列は、メジャー リリースがこのコレクションのアドバイザリに記載した何らかの脆弱性に該当するかどうか、また、これらすべての脆弱性に対する修正を含む最初のリリースを示します。
| Cisco NX-OS ソフトウェア メジャー リリース - Nexus 7000、7700 シリーズ スイッチ | この脆弱性に対する最初の修正リリース | この脆弱性および一連のアドバイザリに記載されているすべての脆弱性に関する最初の修正済みリリース |
|---|---|---|
| 5.2 より前 | 影響あり、次の場所に移行 7.2(2)D1(1) |
7.2(2)D1(1) |
| 5.2 | 該当、7.2(2)D1(1)への移行が必要 |
7.2(2)D1(1) |
| 6.0 | 該当、7.2(2)D1(1)への移行が必要 |
7.2(2)D1(1) |
| 6.1 | 影響あり、次の場所に移行 7.2(2)D1(1) |
7.2(2)D1(1) |
| 6.2 | 影響あり、次の場所に移行 7.2(2)D1(1) |
7.2(2)D1(1) |
| 7.2 | 7.2(2)D1(1) |
7.2(2)D1(1) |
| 7.3 | 7.3(0)DX(1) 7.3(1)D1(1) | 7.3(1)D1(1) |
リリースに関する推奨事項
Cisco Nexusスイッチに最適なCisco NX-OSソフトウェアリリースの判別に関する詳細については、スイッチの推奨リリースに関するドキュメントを参照してください。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
この脆弱性はサポート ケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2016-10月5 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。