日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
複数のCisco IOSソフトウェアバージョンに不具合が存在する場合、セキュリティスキャンソフトウェアプログラムによってルータのセキュリティ脆弱性がテストされると、Ciscoルータが予期せずリロードされます。この不具合は繰り返し悪用され、一貫したサービス拒否(DoS)攻撃を引き起こす可能性があります。
該当するCisco IOSソフトウェアリリースを使用しているお客様は、この脆弱性に対する脆弱性がない新しいバージョンに可能な限り早くアップグレードすることを強く不具合されます。脆弱性が存在する製品とリリースを以下に詳細に示します。
セキュリティスキャナは、特定のUNIXベースのシステムに影響を与える2つの特定の脆弱性の有無をテストしています。これらの脆弱性はCisco IOSソフトウェアとは無関係であり、Cisco IOSソフトウェアにはこれらの脆弱性による直接的なリスクはありません。ただし、テストの副次的な影響により、このセキュリティアドバイザリに記載されている不具合が明らかになり、ルータは後続のトラフィックを受信するとすぐに予期せずリロードします。
この不具合は、Cisco Bug ID CSCdm70743に記載されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20000420-ios-telnet で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
Cisco IOSソフトウェアの次のメジャーリリースには、この脆弱性が存在します。この不具合は、
-
11.3AA
-
12.0リリース:12.0(2) ~ 12.0(6)
-
12.0(7)(ただし、12.0(7)S、12.0(7)T、および12.0(7)XEには脆弱性はありません)
この脆弱性は、該当ソフトウェアを実行している次のシスコのハードウェア製品に影響を与えます。
-
AS5200、AS5300、AS5800シリーズアクセスサーバ
-
7200および7500シリーズルータ
-
ubr7200シリーズケーブルルータ
-
7100 シリーズ ルータ
-
3660 シリーズ ルータ
-
SC3640システムコントローラ(下記の説明を参照)
-
AS5800シリーズ音声ゲートウェイ製品
-
AccessPath LS-3、TS-3、およびVS-3アクセスソリューション製品
SC3640システムコントローラは、複数のアクセスサーバのローカル管理を提供するようにカスタマイズされたCisco 3640ルータです。Cisco SC3640バイナリイメージには不具合が含まれているため、攻撃者がデバイスにTelnetできる可能性がある場合は脆弱です。ただし、元のCisco 3640ルータにはこの不具合は含まれておらず、このField Noticeで説明されているDenial of Service(DoS)攻撃に対する脆弱性はありません。
脆弱性を含んでいないことが確認された製品
Cisco IOSソフトウェアバージョン11.3、11.3T、11.2以前、および12.0(8)または12.1以降を実行しているCiscoのお客様は該当しません。Cisco IOSソフトウェアの特定のリリースに関する詳細と、推奨されるアップグレードパスについては、次の「ソフトウェアバージョンと修正」セクションを参照してください。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
ソフトウェアパッケージは、さまざまな商用サイトや無料サイトから入手できます。これらのサイトでは、ネットワーク上のコンピュータをスキャンして既知のセキュリティ上の欠陥がないか調べ、コンピュータセキュリティの脆弱性に対する自動リモートテストを実行します。複数のUNIXベースのプラットフォームに関連する2つのセキュリティ脆弱性は、脆弱性のあるCiscoルータに同じ影響を与える2つの特定のテストの対象となります。スキャンプログラムは、ルータがTelnet ENVIRONオプションを受け入れる意思があることを示す前に、Telnet ENVIRONオプション#36をアサートしています。これにより、ルータが予期せずリロードします。
回避策
このField Noticeで説明されている脆弱性が不正利用されるのは、該当システムでTelnetサービスが設定され、攻撃者のコンピュータから到達可能な場合だけです。次の推奨事項では、Telnetサービスを使用しない対話型ログイン機能を提供しています。これにより、管理目的でルータへのリモートアクセスを維持しながら、ソフトウェアのアップグレードの代わりに脅威を軽減できます。
-
適切なアクセスコントロールリストを定義し、「access-group」キーワードを使用してvty回線またはルータのインターフェイスに適用することで、Telnetサービスを使用したアクセスを防止します。仮想ターミナル回線とルータの物理インターフェイスの両方を2つのアクセスグループで制限することで、セキュリティをさらに強化できます。1つはvtyに接続できるユーザを制御するもので、もう1つは接続を試行できるインターフェイスを制御するものです。
-
Telnetを無効にし、SSHが使用可能な場合はSSHを使用して、管理目的でルータに接続します。ルータの設定で「line vty 0 4」の後に「transport input ssh」を追加します。これは、ルータへのインタラクティブログインに使用できるのはSSHプロトコルだけであることを規定しています。このField Noticeの日付時点では、SSHは特定の製品(12.0S、12.1S、および12.1TなどのCisco IOSソフトウェアリリースを実行する7200、7500、および12000シリーズ)でのみ使用できます。
-
仮想コンソールが有効にならないように、「line」コマンドを削除して、ルータへのインタラクティブネットワークログインを完全に無効にします。アウトオブバンド方式を使用して、有線コンソールなどのルータにログインし、管理します。コンソールをターミナルサーバに接続することを検討してください。このターミナルサーバ自体には別個のパラレルネットワーク経由でのみ到達でき、その逆に管理目的のためだけにサイトポリシーによって制限されます。
お客様の構成は多岐にわたるため、ソフトウェアアップグレードの代わりにこれらの回避策の効果と相対的なメリットを判断することは不可能です。お客様には、それぞれのネットワーク設定に関して、これらの推奨事項を慎重に評価するよう注意してください。
修正済みソフトウェア
次の表の最初の列に示す該当するCisco IOSソフトウェアメジャーリリースバージョンでは、同じ行の右側にリストされている既知の不滅性リリースにアップグレードする必要があります。一般に、同じ行の一番右の列にあるリリースにアップグレードする必要があります。たとえば、12.0「メインライン」(メジャーリリース)を実行しているユーザは、少なくとも12.0(7.1)にアップグレードする必要がありますが、できれば12.0(8)にアップグレードする必要があります。
下の左端の列に特に記載されていないリリースは、この脆弱性の影響を受けません。
リリース予定日は、まだ完了していない、またはCCOで利用可能でないリリースのソフトウェアリリースバージョン番号と共に表示されます。*
「暫定リリース」が予定されており、多数の修正と、それ以降のすべてのバージョンに繰り越される臨時の拡張が含まれています。** 「メンテナンスリリース」は、重要な拡張と累積修正を組み込んだ定期的な予定イベントです。これは、Cisco IOSソフトウェアで注目すべき新しいテクノロジーのサポートのエントリポイントとなる可能性があります。
|
メジャー リリース |
説明 |
修正済み定期リリースまたは暫定**リリースの予定 |
修正済み定期メンテナンスリリースの予定 |
|---|---|---|---|
|
影響を受けない以前のリリース |
|||
|
11.2以前、すべてのバリアント |
複数のリリース |
影響なし |
影響なし |
|
11.3 ベースのリリース |
|||
|
11.3AA |
AS5800サポートおよびその他のダイヤルプラットフォーム |
- |
11.3(11a)AA |
|
12.0 ベースのリリース |
|||
|
12.0 |
12.0 メインライン |
12.0(7.1) |
12.0(8) |
|
12.0S |
ISPサポート:7200、RSP、GSR12000 |
12.0(6.6)S |
12.0(7)S |
|
12.0(7.1)S |
12.0(8)S |
||
|
12.0SC |
ケーブルISPサポート:ubr7200 |
12.0(6.6)SC1 |
12.0(8)SC***または12.0(9)SC |
|
12.0(7.1)SC |
|||
|
12.0T |
12.0新しいテクノロジーの早期導入リリース |
12.0(6.5)T3 |
12.0(7)T |
|
12.0(6.5)T4 |
|||
|
12.0W |
Catalyst 8500およびLS1010用の12.0 |
12.0(6.5)W5(16.0.9) |
12.0(6.5)W5(17)、2000/04/18* |
|
12.0XE |
一部のエンタープライズ機能向け短期リリース、7200 & 7500 |
利用不可 |
12.0(7)XE1 |
|
12.0XJ |
Dial/Voice、5200、5300、5800、2600、および3600用のShort-lifeリリース |
利用不可 |
12.0(4)XJ4 |
|
12.1 ベースのリリース |
|||
|
12.1以降、すべてのバリアント |
複数のリリース |
影響なし |
影響なし |
*すべての日付は暫定的なものであり、変更されることがあります
**暫定リリースは、通常のリリースと比べて内部テストおよび検証の対象が少なく、重大なバグが発生する可能性があるため、十分に注意してインストールする必要があります。
*** 12.0(8)SCには、この不具合に対する脆弱性はありませんが、その他の問題により、この通知の日付をもってCCOでは利用できなくなっています。代わりに12.0(9)SCにアップグレードします。
不正利用事例と公式発表
この通知の日付時点で、シスコ製品に直接適用されるこの特定の脆弱性の悪質なエクスプロイトに関する公表、議論、報告は行われていません。
この脆弱性のサービス拒否(DoS)の側面は、ネットワークのセキュリティスキャンの実施中に発見されたいくつかの異なるお客様からシスコに報告されました。この不具合は、CSCdm70743で文書化されているように、シスコの開発エンジニアによって内部で発見されたものです。
URL
改訂履歴
|
1.0 |
2000年4月20日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。