日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
次に、拡張IPアクセスコントロールリストで「tacacs-ds」キーワードまたは「tacacs」キーワードが使用されている場合の、Cisco IOSソフトウェア10.3リリースでのエラーについて説明します。
解決策は、上記で説明したIOSソフトウェアの適切なリリースを入手してインストールすることです。詳細については、シスコのTACにお問い合わせください。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-19950731-acl-packet-bypass で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性は、次のバージョンのIOSソフトウェアに存在します。
10.3(3.4) ~ 10.3(4.2)
IP拡張アクセスリストを使用する製品でこれらのIOSバージョンのいずれかを実行しており、これらのリストで「tacacs-ds」または「tacacs」キーワードを使用している場合は、アクセスリストを確認して、正しく解析されたことを確認することを強くお勧めします。次のコマンドを発行すると、実行中のIOSのバージョンを確認できます。
show version
アクセスリストの解析が正しく行われていない場合は、より新しいバージョンのIOSにアップグレードするか、次に説明する回避策を実行することを推奨します。このバグは、次の公式ソフトウェアリリースで修正されています。
10.3(4.3) 以降
(参照用として、この修正に対するシスコのアップデートIDは「CSCdi36962」です)。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
特定のバージョンのIOSのバグにより、拡張IPアクセスリストが誤って解析される可能性があります。状況によっては、これによりパケットがIPパケットフィルタリングをバイパスできる場合があります。これにより、意図しないIPトラフィックがフィルタリングルータを通過する可能性があります。
バージョン10.3(1) ~ 10.3(3.3)のIP拡張アクセスリストでは、キーワード「tacacs-ds」が使用されています。このキーワードは、ルータ設定の一部として、ルータの不揮発性メモリまたは外部TFTPサーバに保存できます。
バージョン10.3(3.4) ~ 10.3(4.2)で読み取られるこれらのバージョンで作成されたコンフィギュレーションファイルでは、「tacacs-ds」キーワードが正しく解析されません。その結果、アクセスリストの行全体が無視されます。これが発生すると、エラーメッセージが生成されます。アクセスリストがパケットフィルタの一部として使用されている場合、アクセスリストからこのような行が失われると、脆弱性が発生する可能性があります。
脆弱性の有無を判断するには、現在の設定を確認し、意図した設定と比較します。
現在の設定と目的の設定のアクセスリストでキーワード「tacacs-ds」が使用されていない場合、この脆弱性は存在しません。あなたは何もする必要はありません。
現在の設定にキーワード「tacacs-ds」が含まれている場合、そのルータを10.3(3.4)から10.3(4.2)の間のIOSのバージョンにアップグレードしないでください。現在、脆弱性は存在しません。
使用する設定にTCPまたはUDPポート49のキーワード「tacacs-ds」、「tacacs」、またはフィルタが含まれていて、現在の設定にアクセスリストのこの行が含まれていない場合、現在この脆弱性が存在します。次に説明する回避策を実行する必要があります。
回避策
次のアクションを実行すると、この脆弱性が削除されます。
意図した設定に基づいて、アクセスリストを削除し、再入力します。「tacacs-ds」キーワードは入力しないでください。代わりにキーワード「tacacs」を使用します。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
ソフトウェアアップグレードは、次のいずれかのメカニズムを通じて入手できます。
ワールドワイドウェブ(WWW)
登録済みCCOユーザの場合は、次のURLを開いてください。
http://www.cisco.com/tacpage/sw-center/
ダウンロードするソフトウェアのバージョンを選択します。
未登録ユーザの場合は、次のURLを開きます。
https://www.cisco.com/cgi-bin/Software/SFA/sfa.cgi
コードの入力を求められたら、次のように入力します。
certjuly31
を参照してください。
FTP
ftp cco.cisco.comにアクセスし、初期(ユーザ名)プロンプトで次のように入力します。
certjuly31
パスワードプロンプトで、電子メールアドレスを入力します。次に実行するコマンド
get README.certjuly31
このファイルには、この脆弱性を解消するために使用可能なファイルのリストが含まれています。このリストを調べて必要なファイルを特定し、ダウンロードしてください。
文字ベースの「CCOクラシック」
アクセスには、次の接続オプションが提供されます。
telnet cco.cisco.com
ダイヤルアップモデム
-
欧州+33 1 64 46 40 82
-
米国(408)526 8070
vt100、N81、最大14.4 Kbps
ゲストユーザまたは登録ユーザとして入力し、トピックに移動します。
Software Updates Special Files
コードのプロンプトで、次のように入力します。
certjuly31
選択してダウンロードできるファイルのリストが表示されます。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性はによってシスコに報告されました。
URL
改訂履歴
|
リビジョン 1.0 |
1995-July-31 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。