日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
アクセスコントロールリスト(ACL)に関連する6つの脆弱性が、Cisco 12000シリーズインターネットルータ用Cisco IOS®ソフトウェアリリースの複数のリリースで発見されています。すべてのIOSリリースにすべての脆弱性が存在するわけではなく、Engine 2に基づくラインカードだけが、これらの脆弱性の影響を受けます。
脆弱性が存在する他のシスコ製品はありません。
回避策については、「回避策」セクションで説明します。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20011114-gsr-aclで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性の影響を受けるのは、Engine 2ベースのラインカードを搭載したCisco 12000シリーズインターネットルータのみです。Cisco 12000シリーズのすべてのラインカードがすべての脆弱性の影響を受けるわけではありません。脆弱性は、個々のラインカードの基盤となるテクノロジーに存在します。その技術は「エンジン」と呼ばれています。現在、シスコでは、0、1、2、3、4の各エンジンをベースにしたラインカードを出荷しています。
カードがベースとしているエンジンを判別するには、Cisco 12000ルータにログオンし、イネーブルモードでsh diagコマンドを発行する必要があります。エンジンタイプは「L3 Engine: x」と表示されます。ここで、xは対応する番号です。
次の例は、エンジン2ベースのラインカードの出力を示しています。
c12000#sh diag SLOT 1 (RP/LC 1 ): 1 Port Packet Over SONET OC-48c/STM-16 Single Mode/SR SC-SC connector MAIN: type 41, 800-5271-01 rev A0 dev 0 HW config: 0x04 SW key: 00-00-00 PCA: 73-3295-05 rev A0 ver 5 HW version 1.1 S/N SDK034004AY MBUS: Embedded Agent Test hist: 0x00 RMA#: 00-00-00 RMA hist: 0x00 DIAG: Test count: 0x00000000 Test results: 0x00000000 L3 Engine: 2 - Backbone OC48 (2.5 Gbps) ^^^^^^^^^^^ <- Note the engine type [further output truncated]
これらの脆弱性は、エンジン2ベースのラインカードに影響を与えます。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco 12000プラットフォームをサポートするIOSリリースには、6件の脆弱性が見つかりました。この脆弱性に該当するのは、エンジン2をベースとしたラインカードだけです。
-
0.CSCdm44976
ACLは、パケットの先頭以外のフラグメントをブロックしません。このCisco Bug IDでは、ACLに「fragment」キーワードのサポートが追加されています。『White Paper:アクセスコントロールリストとIPフラグメント』では、キーワードフラグメントによってACLの動作がどのように変化するかについて説明しています。
-
0.CSCdu57417
パケットの宛先がルータ自体である場合、コンパイル済みACL(ターボACL)のキーワード「fragment」は無視されます。
-
0.CSCdu03323
448エントリだけのACLが発信ACLとしてインターフェイスに適用されている場合、ACLの最後にある暗黙の「deny ip any any」ルールは無視されます。448以上またはそれ未満のその他の数のルールを持つACLは、この脆弱性の影響を受けません。
-
0.CSCdu35175
発信ACLでの「fragment」キーワードのサポートが追加されました。以前は、着信ACLのみがこのキーワードをサポートし、発信ACLはそれを無視していました。
-
0.CSCdt96370
マルチポートエンジン2ラインカードの一部のインターフェイス(すべてではない)に入力ACLが設定されている場合、アウトバウンドアクセスコントロールリスト(ACL)でルータ上の対象トラフィックがすべてブロックされないことがあります。前提条件は、対象のトラフィックが入力ポートの着信ACLによってフィルタリングされなかったことです。入力ポイントに適用されたACLは期待どおりに動作し、目的のトラフィックをブロックします。
-
0.CSCdt69741
「fragment」キーワードを使用しても、パケットフラグメントはACLによってフィルタリングされません。『White Paper:アクセスコントロールリストとIPフラグメント』では、キーワードフラグメントによってACLの動作がどのように変化するかについて説明しています。
回避策
0.CSCddm44976
この脆弱性に対する直接的な回避策はありません。可能であれば、パケットフラグメントはGSRに到達する前にフィルタリングできます。
0.CSCdu57417
この脆弱性に対する直接的な回避策はありません。可能であれば、パケットフラグメントはGSRに到達する前にフィルタリングできます。
0.CSCdu03323
この問題を回避するには、ACLの長さを448行未満に短縮するか、最後の文としてルール「deny ip any any」を明示的に追加します。
0.CSCdu35175
回避策は、ACLを発信ACLではなく着信ACLに変換することです。
0.CSCdt96370
入力ラインカードのすべてのポートにACLを適用します。特定のポートでトラフィックがブロックされないことが想定される場合は、access-list xy permit ip any anyという形式のACLを適用します。
0.CSCdt69741
この脆弱性に対する直接的な回避策はありません。中間ルータにフラグメントが存在する場合は、該当するCisco 12000と最終的なターゲットの間に配置する必要があり、これをブロックすることが可能です。中継ルータは、同じ脆弱性の影響を受ける別のCisco 12000であってはなりません。
修正済みソフトウェア
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリースと、各リリースの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。特定の列のリリースより前(最初の修正リリースより前)のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン(最初の修正リリースのラベルより後)にアップグレードする必要があります。
リリースを選択するときは、次の定義を念頭においてください。
メンテナンス
表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。
リビルド
同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定リリースは、脆弱性に対処する適切なリリースが他にない場合にのみ選択し、暫定イメージは、次に利用可能なメンテナンスリリースにできるだけ早くアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、CCOからダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次のセクションに示すように、Cisco TACに連絡して支援を求めてください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
脆弱性CSCdm4476 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(10.1)S |
12.0(11)S |
|
|
脆弱性CSCdu57417 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(19.3)S |
12.0(19)S |
|
|
12.0ST |
サービスプロバイダー(ISP)向けCisco 7200、7500/7000RSP、および12000シリーズルータのEarly Deployment(ED;初期配備)リリース。 |
12.0(18.6)ST1 |
12.0(19.3)ST |
12.0(19)第 |
|
脆弱性CSCdu03323 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(16)S2 |
12.0(17.5)S |
12.0(17)S |
|
12.0ST |
サービスプロバイダー(ISP)向けCisco 7200、7500/7000RSP、および12000シリーズルータのEarly Deployment(ED;初期配備)リリース。 |
12.0(16.6)ST1 |
12.0(17.5)ST |
12.0(17)第 |
|
脆弱性CSCdu35175 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(19.6)S |
||
|
12.0ST |
サービスプロバイダー(ISP)向けCisco 7200、7500/7000RSP、および12000シリーズルータのEarly Deployment(ED;初期配備)リリース。 |
12.0(19.6)ST |
||
|
脆弱性CSCdt96370 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(16)S1 |
12.0(17.1)S |
12.0(17)S |
|
12.0ST |
Cisco IOSソフトウェアリリース12.OSTは、サービスプロバイダー(ISP)向けのCisco 7200、7500/7000RSP、および12000(GSR)シリーズルータ用のEarly Deployment(ED)リリースです。 |
12.0(15.6)ST3 |
12.0(17.1)ST |
12.0(16)第 |
|
脆弱性CSCdt69741 |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(16.6)S2 |
12.0(17.3)S |
12.0(17)S |
|
12.0ST |
Cisco IOSソフトウェアリリース12.OSTは、サービスプロバイダー(ISP)向けのCisco 7200、7500/7000RSP、および12000(GSR)シリーズルータ用のEarly Deployment(ED)リリースです。 |
12.0(17.3)ST |
12.0(18)第 |
|
|
注意事項 |
||||
|
日付はすべて予定であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 |
||||
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
URL
改訂履歴
|
リビジョン 1.1 |
2001-November-15 |
修正済みIOSリリースによる表の更新 |
|
リビジョン 1.0 |
2001-November-14 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。