日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
802.1xフレームが、STPでブロックされたポート上の該当するCatalyst 5000シリーズスイッチによって受信されると、ドロップされるのではなく、そのVLANに転送されます。これにより、該当するCatalyst 5000シリーズスイッチで構成されているネットワークのその部分で、パフォーマンスに影響を与える802.1xフレームのネットワークストームが発生します。このネットワークストームは、802.1xフレームの送信元が削除されるか、「回避策」セクションの回避策の1つが適用された場合にのみ鎮静化します。この脆弱性が不正利用されると、サービス拒否(DoS)攻撃が引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCdt62732に記載されています。
この通知はhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010413-cat5k-8021xで公開されます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次のEARL(Encoded Address Recognition Logic)ハードウェアリビジョンのいずれかに基づくCisco Catalyst 5000シリーズスイッチ
-
EARL 1
-
EARL 1+
-
EARL 1++
次のいずれかのスイッチソフトウェアリビジョンが稼働していること。
-
4.5(11)以前
-
5.5(6)以前
-
6.1(2)以前
この脆弱性の影響を受けます。このシリーズには、Catalystモデル5000、5002、5500、5505、5509、2901、2902、および2926スイッチが含まれます。
スイッチのコンソールプロンプトでハードウェアとソフトウェアのリビジョンを確認するには、sh modと入力します。
詳細については、『Catalyst 5000 EARLバージョンの特定とその他のEARLに関する一般的な質問』を参照してください。
脆弱性を含んでいないことが確認された製品
EARL 2以降のハードウェアリビジョンに基づくCatalyst 5000シリーズスイッチは、この脆弱性の影響を受けません。
Catalyst 5000シリーズスイッチでは、EARLハードウェアリビジョンに関係なく、次のスイッチソフトウェアリビジョンが稼働します
-
4.5(12)以降:2001年5月1日より前に一般提供を予定
-
5.5(7) 以降
-
6.1(3) 以降
は、この脆弱性の影響を受けません。
他のシスコ製品においてこの脆弱性の影響を受けるものは、現在確認されていません。これには、Catalyst 6000、4000、3500XL、2900XL、および2948Gスイッチが含まれます。
詳細
802.1x(ポートベースのネットワークアクセス制御用のIEEE標準)フレームが、STP(スパニングツリープロトコル)でブロックされたポート上の該当するCatalyst 5000シリーズスイッチによって受信されると、ドロップされるのではなく、そのVLAN(仮想ローカルエリアネットワーク)で転送されます。これにより、該当するCatalyst 5000シリーズスイッチで構成されているネットワークのその部分で、パフォーマンスに影響を与える802.1xフレームのネットワークストームが発生します。このネットワークストームは、802.1xフレームの送信元が削除されるか、「回避策」セクションの回避策の1つが適用された場合にのみ鎮静化します。
この脆弱性は、Cisco Bug ID CSCdt62732として文書化されており、表示するにはCCOアカウントが必要です。
回避策
次の回避策により、該当するCatalyst 5000シリーズスイッチネットワークで802.1xフレームによる802.1xフレームのネットワークストームの発生を防止できます。
これらの回避策は、802.1xフレームのネットワークストームが発生しているネットワークにも適用できます。
-
ネットワーク内の影響を受ける各スイッチで、予約済みSTPの範囲01-80-c2-00-00-02 ~ 01-80-c2-00-00-0f全体に対して、未使用のポートが除外されるように、永続的なMACアドレスエントリを設定します。
設定するコマンドを次に示します。
set cam permanent 01-80-c2-00-00-02 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-03 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-04 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-05 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-06 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-07 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-08 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-09 <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0a <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0b <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0c <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0d <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0e <mod#>/<port#> <VLAN> set cam permanent 01-80-c2-00-00-0f <mod#>/<port#> <VLAN>
-
次のいずれかの方法でSTPループを解除します
-
冗長(STPでブロックされたポート)を無効にする、または
-
これらのポートからケーブルを取り外す
-
冗長(STPでブロックされたポート)を無効にする、または
-
スパニングツリーループを作成するCatalyst 5000スイッチ(STPでブロックされたポートを持つすべてのスイッチ)の電源をオフにします。
スイッチの電源を入れる前に、802.1xフレームのすべてのソースを取り外します。
修正済みソフトウェア
この脆弱性は、次のスイッチソフトウェアリビジョンで修正されています
-
4.5(12)以降:2001年5月1日より前に提供予定
-
5.5(7) 以降
-
6.1(3) 以降
修正は今後のすべてのリリースで適用されます。
ソフトウェアのアップグレードは、コンソールインターフェイスを介して実行できます。
推奨事項
不正利用事例と公式発表
Cisco PSIRTでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
Microsoft Windows XPベータソフトウェアの使用中にこの脆弱性を発見したお客様から、シスコにこの脆弱性が報告されました。Microsoft Windows XPは、ブートアップフェーズで802.1x認証を試行します。次の設定手順に従うと、これを無効にすることができます。
-
Network Connectionsの下にある関連するローカルエリア接続をクリックします
-
右上のAuthenticationタブをクリックします。
-
「Network Access Control using IEEE 802.1x」のチェックを外します。
この問題は、Microsoft Windows XPベータプログラムおよびCisco Catalyst 5000シリーズスイッチの問題に関するニュース記事で取り上げられています。
URL
改訂履歴
|
リビジョン 1.1 |
2002年8月7日 |
|
|
リビジョン 1.0 |
2001年4月13日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。