日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
ローカルブロードキャストインターフェイス(イーサネット、ケーブル、トークンリング、FDDIなど)でAddress Resolution Protocol(ARP;アドレス解決プロトコル)パケットを送信することが可能です。これにより、特定のバージョンのCisco IOS®ソフトウェアリリースを実行しているルータまたはスイッチが、ローカルルータインターフェイスでのARPパケットの送受信を停止する可能性があります。これにより、ルータとローカルホストは短時間で互いにパケットを送信できなくなります。ルータが受信したARPパケットは、ルータ自身のインターフェイスアドレス宛てのものですが、別のMedia Access Control(MAC;メディアアクセス制御)アドレスが割り当てられていると、ARPテーブル内にあるルータのMACアドレスが、受信したARPパケットのMACアドレスで上書きされます。これはBlack Hat会議の出席者に対してデモを行い、一般の知識と見なされるべきでした。この攻撃は、攻撃者または攻撃ホストに対してローカルなセグメント上のデバイスに対してのみ成功します。
この脆弱性は、Cisco Bug ID CSCdu81936に記載されており、回避策があります。
完全な通知は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20011115-ios-arp-overwriteで入手できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次の製品は、この不具合が含まれるソフトウェアリリースを実行している場合に影響を受けます。
シスコ製品が該当するIOSを実行しているかどうかを確認するには、デバイスにログインしてコマンドshow versionを発行します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または「IOS(tm)」ソフトウェアとして識別され、バージョン番号が表示されます。他のシスコデバイスには、コマンドshow versionが設定されていないか、異なる出力が返されます。ルータから取得したバージョン番号を、次の「ソフトウェアバージョンと修正」セクションに示すバージョンと比較します。
該当するIOSソフトウェアリリースが稼働しているシスコデバイスには、次のものがあります。
-
AGS/MGS/CGS/AGS+、IGS、RSM、800、ubr900、1000、1400、1500、1600、1700、2500、2600、3000、3600、3800、4000、4500、470にあるCiscoルータ 0、AS5200、AS5300、AS5800、6400、7000、7200、ubr7200、7500、および12000シリーズ
-
LS1010 ATMスイッチの最新バージョン
-
Catalyst 2900XLおよび3500XL LANスイッチ
-
Catalyst 2950 LANスイッチ
-
Catalyst 3550 スイッチ
-
Catalyst 2948G-L3および4908G-L3
-
Catalyst 4000レイヤ3サービスモジュール(WS-X4232-L3)
-
Catalyst 5000 RSM/RSFC
-
Catalyst 6000 MSFC
-
ネイティブIOSを実行するCatalyst 6000
-
Catalyst 8500 MSR/CSR(CatOS)
-
Cisco DistributedDirector
脆弱性を含んでいないことが確認された製品
Cisco IOSソフトウェアを実行していない場合、この脆弱性の影響を受けません。
Cisco IOSソフトウェアが稼働しておらず、この不具合の影響を受けないシスコ製品には次のものが含まれますが、これらに限定されません。
-
700シリーズのダイヤルアップルータ(750、760、および770シリーズ)は影響を受けません。
-
IGXおよびBPXラインのWANスイッチング製品は影響を受けません。
-
MGX(以前のAXISシェルフ)は影響を受けません。
-
ホストベースのソフトウェアは影響を受けません。
-
Cisco PIX Firewallは該当しません。
-
Cisco LocalDirectorは該当しません。
-
Cisco Cache Engineは該当しません。
-
CatOSが稼働するCatalyst 2901/2902、2948G、2980G、4000、5000、および6000スイッチ。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
要求と応答の両方のARPパケットが、ルータ自身のインターフェイスアドレスまたはグローバルNetwork Address Translation(NAT;ネットワークアドレス変換)エントリに関してルータによって受信されましたが、異なるMACアドレスが割り当てられていると、ルータのARPテーブルにあるルータのMACアドレスが、ARP要求または応答にあるMACアドレスで上書きされます。Cisco IOSルータデバイスは、数回試行してもインターフェイスのMACアドレスを防御しますが、ARPストームを防ぐために、デバイスはARPテーブルに誤った情報を受け入れます。これにより、インターフェイスは新しいARPエントリの受け入れを停止し、ARPテーブルのエントリは受け入れられず、更新もされません。この動作は、ローカルネットワークでのARPストームを回避するために応答をレート制限することで、インターフェイスのMACアドレスを適切に保護するために修正されています。この攻撃は、ローカルネットワークからのみ実行できます。この不具合は、HSRP仮想インターフェイスにも影響します。この不具合は、Cisco Bug ID CSCdu81936(登録ユーザ専用)に記載されており、Cisco IOSコードの将来のバージョンで修復されています。この不具合は、Cisco Bug ID CSCdv83509、CSCdv63206、CSCdv77242、CSCdv77220、CSCdu85209で重複しています。また、設定に関する回避策も利用できます。
回避策
この脆弱性の回避策は、設定エントリを使用して、ルータインターフェイスのMACアドレスをARPテーブルに入力することです。これは、ARPテーブルエントリの「ハードコーディング」と呼ばれることもあります。
IOSを実行しているルータおよびスイッチに対するこのコマンドの構文は次のとおりです。
arp <ip-address> <hardware-address> <type>
この回避策に対する注意点は不具合CSCdv04366で特定されています。この方法では、コマンド「clear arp」がルータで発行された場合、手動で入力されたMACアドレスがインターフェイスのMACアドレスと同じ場合に、ARPテーブルからすべてのMACアドレスがクリアされます。この回避策はルータのリブート後も有効ではなく、リロードまたはリブート後にコンフィギュレーションに再度書き込む必要があります。
修正済みソフトウェア
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合は、修正を含む最初のリリースとそれぞれの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。特定の列のリリースより前(最初の修正リリースより前)のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン(最初の修正リリースのラベルより後)にアップグレードする必要があります。
リリースを選択するときは、次の定義を念頭においてください。
メンテナンス
表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。
リビルド
同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定イメージは、脆弱性に対処する適切なリリースが他にない場合にのみ選択し、可能な限り早急に次のメンテナンスリリースにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco Technical Assistance Center(TAC)に事前に連絡しなければ、CCOからダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次のセクションに示すように、Cisco TACに連絡して支援を求めてください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
|
メジャー リリース |
説明またはプラットフォーム |
修正済みリリースの入手可能性* |
||
|---|---|---|---|---|
|
該当する以前のリリース |
リビルド |
暫定 |
メンテナンス |
|
|
11.1以前、すべてのバリアント |
多数 |
修復されたリリースにアップグレードするか、回避策を使用します。 |
||
|
11.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
11.2 |
すべてのプラットフォームのメジャーリリース |
11.2(13)以降は該当なし |
||
|
11.2P |
新しいプラットフォームのサポート |
11.2(12)P以降は該当なし |
||
|
11.3 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
11.3 |
すべてのプラットフォームのメジャーリリース |
11.3(3)以降は該当なし |
||
|
11.3T |
早期導入者向けの豊富な機能を備えた早期導入メジャーリリース |
11.3(3)以降は該当なし |
||
|
12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.0 |
General Deployment(GD)候補:すべてのプラットフォーム |
12.0(19.6) |
||
|
12.0DA |
xDSLサポート:6100、6200 |
使用不可 |
||
|
12.2DAへのアップグレードを推奨 |
||||
|
12.0DB |
6400 NSPの早期導入リリース |
使用不可 |
||
|
12.1T以降へのアップグレードを推奨 |
||||
|
12.0DC |
6400 NRPの早期導入リリース |
使用不可 |
||
|
可能な場合は12.2(2)Bへのアップグレードを推奨 |
||||
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(21)S 2002-Jan-14 |
||
|
12.0SC |
ケーブル/ブロードバンドISP:ubr7200 |
使用不可 |
||
|
推奨される12.1ECへのアップグレード、または回避策の使用 |
||||
|
12.0SL |
10000 ESR:c10k |
使用不可 |
||
|
推奨される12.0STへのアップグレード、または回避策の使用 |
||||
|
12.0SP |
c10720 |
12.0(20)SP |
||
|
発表予定 |
||||
|
12.0ST |
MPLS/タグスイッチング、GSR 12000、7200、7500 |
12.0(20)ST 2001-Nov-26 |
||
|
12.0T |
Early Deployment(ED):VPN、Distributed Director、各種プラットフォーム |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0W5 |
Catalystスイッチ:cat8510c、cat8540c、ls1010、cat8510m、cat8540m、cat5atm |
12.0(20)W5(24) |
||
|
2002年1月7日 |
||||
|
Catalystスイッチ:cat2948g-L3、cat4232 |
12.0(18)W5(22a) |
|||
|
2001-Dec-1 |
||||
|
Catalystスイッチ:c6msm |
12.0(16)W5(21b) |
|||
|
2001-Nov-29 |
||||
|
12.0WC |
Catalyst 2900XL(CatOS) |
12.0(5)WC3 2002-Jan |
||
|
12.0WT |
Catalystスイッチ:cat4840g |
Not affected |
||
|
12.0XA |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XB |
短期初期配備リリース |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XC |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XD |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XE |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)Eへのアップグレードを推奨(2001年12月10日に入手可能) |
||||
|
12.0XF |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XG |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XH |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XI |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XJ |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XK |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XL |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XM |
短期初期配備リリース |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XN |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XP |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
推奨される回避策 |
||||
|
12.0XQ |
短期初期配備リリース |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XR |
短期初期配備リリース |
使用不可 |
||
|
12.1(11)へのアップグレードを推奨 |
||||
|
12.0XS |
短期初期配備リリース |
使用不可 |
||
|
12.1(11)Eへのアップグレードを推奨(2001年12月10日に入手可能) |
||||
|
12.0XU |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
推奨されるアップグレードまたは回避策の使用 |
||||
|
12.0XV |
短期初期配備リリース |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.1 |
General Deployment(GD)候補:すべてのプラットフォーム |
12.1(10.3) |
12.1(11) |
|
|
12.1AA |
ダイヤルサポート |
12.1(10)AA 2001-Nov-12 |
||
|
12.1DA |
xDSLサポート:6100、6200 |
使用不可 |
||
|
12.2.Tへのアップグレードを推奨 |
||||
|
12.1DB |
Cisco 6400ユニバーサルアクセスコンセントレータ |
可能な場合は12.2(2)Bへのアップグレードを推奨 |
||
|
12.1DC |
xDSL NRPサポート:c6400r |
可能な場合は12.2(2)Bへのアップグレードを推奨 |
||
|
12.1E |
コア/ISPサポート:GSR、RSP、c7200 |
12.1(11)E 2001-DEC-10 |
||
|
Catalyst 6000 |
12.1(08a)E05 |
|||
|
12.1EA |
Catalyst 2950 |
12.1(6)EA2 2001年12月 |
||
|
Catalyst 3550 |
12.1(6)EA1a 2001年12月 |
|||
|
12.1EC |
早期導入(ED):ubr7200、UBRヘッドエンドプラットフォーム |
12.1(8.5)EC |
12.1(9)EC |
|
|
12.1EX |
Catalyst 6000 |
使用不可 |
||
|
12.1(11)Eへのアップグレードを推奨 |
||||
|
12.1EY |
Catalyst 8510、8540、LS1010 |
Not affected |
||
|
12.1EZ |
Early Deployment(ED):プラットフォームが限られている |
12.1(6)EZ4 2001-Nov-02 |
||
|
12.1T |
New technology Early Deployment(ED):すべてのプラットフォーム |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XA |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XB |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XC |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XD |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XE |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XF |
Early Deployment(ED):プラットフォームが限られている |
12.1(2)XF5 2002-Jan |
||
|
12.1XG |
Early Deployment(ED):プラットフォームが限られている |
12.1(3)XG6 2002年1月 |
||
|
12.1XH |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XI |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XJ |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XK |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XL |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2へのアップグレードを推奨 |
||||
|
12.1XM |
Early Deployment(ED):プラットフォームが限られている |
12.1(5)XM6 2001-Dec-03 |
||
|
12.1XP |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2(2)Tへのアップグレードを推奨 |
||||
|
12.1XQ |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2(2)Tへのアップグレードを推奨 |
||||
|
12.1XR |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2(7)Tへのアップグレードを推奨 |
||||
|
12.1XS |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XC1 2001-DEC-3 |
||
|
12.1XT |
Early Deployment(ED):プラットフォームが限られている |
使用不可 |
||
|
12.2(7)Tへのアップグレードを推奨 |
||||
|
12.1XU |
Early Deployment(ED):プラットフォームが限られている |
Not affected |
||
|
12.1XV |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XB2 2001-DEC-17 |
12.2(2)XB2 2001-DEC-17 |
|
|
12.1XW |
Early Deployment(ED):プラットフォームが限られている |
12.1(11) |
||
|
12.1XX |
Early Deployment(ED):プラットフォームが限られている |
12.1(11) |
||
|
12.1YA |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XB |
||
|
12.1YB |
Early Deployment(ED):プラットフォームが限られている |
12.1(5)YB5 2002年1月 |
||
|
12.1YC |
Early Deployment(ED):プラットフォームが限られている |
12.1(5)YC2 2002年1月 |
||
|
12.1YD |
Early Deployment(ED):プラットフォームが限られている |
12.2(7)Tに移行 |
||
|
12.1YE |
Early Deployment(ED):プラットフォームが限られている |
12.1(5)YE4 2001-Nov-19 |
||
|
12.1YF |
Early Deployment(ED):プラットフォームが限られている |
12.1(5)YF3 2001-Nov |
||
|
12.1YH |
Early Deployment(ED):プラットフォームが限られている |
Not affected |
||
|
Affected 12.2-Based Releases |
リビルド |
暫定 |
メンテナンス |
|
|
12.2 |
General Deployment(GD)候補:すべてのプラットフォーム |
12.2(4.2) |
12.2(5) |
|
|
12.2DD |
7200 7400 |
12.2(2)DD1 2001-Nov-19 |
||
|
12.2T |
Early Deployment(ED):プラットフォームが限られている |
12.2(7)T 2002年2月 |
||
|
12.2XA |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XA4 2001年12月3日 |
||
|
12.2XB |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XB2 2001-Dec-17 |
||
|
12.2XC |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XC1 2001-DEC-3 |
||
|
12.2XD |
Early Deployment(ED):プラットフォームが限られている |
12.2(1)XD3 2002-Jan |
||
|
12.2XE |
Early Deployment(ED):プラットフォームが限られている |
12.2(1)XE2 2002年1月 |
||
|
12.2XG |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XG1 2001-DEC-17 |
||
|
12.2XH |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XH2 2002年1月 |
||
|
12.2XI |
Early Deployment(ED):プラットフォームが限られている |
|||
|
12.2XJ |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XJ2 2002年1月 |
||
|
12.2XK |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XK5 2002年1月 |
||
|
12.2XQ |
Early Deployment(ED):プラットフォームが限られている |
12.2(2)XQ2 2002-Jan |
||
|
注意事項 |
||||
|
*すべての日付は概算であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 ***このリリースには、リビルドソリューションはありません。12.2Tが使用可能になったら、アップグレードする必要があります。これは誤植ではありません。 |
||||
推奨事項
不正利用事例と公式発表
この脆弱性は、Kevin DePeugh <v0nelm0@best.com>およびJeff Nathan <jeff@wwti.com>によって、今年ラスベガスで開催されたBlack Hatカンファレンスで公開されました。この脆弱性のエクスプロイトに関する個別の報告があり、実装された回避策によって攻撃が回避されています。この攻撃は「ソニックブーム」と呼ばれ、ツールは簡単に利用できます。
URL
改訂履歴
|
リビジョン 1.3 |
2002年7月22日 |
「ソフトウェアバージョンおよび修正」セクションのアップデート |
|
リビジョン 1.2 |
2001-December-18 |
概要、該当製品、影響、ソフトウェアバージョンと修正、回避策のセクションのアップデート |
|
リビジョン 1.1 |
2001-November-21 |
リリーステーブルの更新 |
|
リビジョン 1.0 |
2001-November-15 |
一般公開2001年11月15日午前08:00米国/太平洋(UTC-0700) |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。