日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco 12000シリーズインターネットルータを除き、Cisco Express Forwarding(CEF)が有効になっているCisco IOS®ソフトウェアを実行しているすべてのシスコデバイスは、デバイスで処理された以前のパケットから情報をリークする可能性があります。これは、IPヘッダーに記述されているパケット長が物理パケットサイズよりも大きい場合に発生する可能性があります。このようなパケットはIP長に合わせて拡張され、その拡張中に情報リークが発生する可能性があります。攻撃者は一部のパケットの一部のみを収集できますが、セッション全体を収集することはできません。
脆弱性が存在するシスコ製品は他にありません。ファストスイッチングが有効になっているデバイスは、この脆弱性の影響を受けません。Cisco 12000シリーズインターネットルータは、この脆弱性の影響を受けません。
この脆弱性の回避策は、CEFをディセーブルにすることです。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020227-ios-cefから入手できます。
該当製品
脆弱性のある製品
CEFをサポートしているすべてのCisco IOSリリースに脆弱性が存在します。この脆弱性を引き起こすには、デバイスでCEFを有効にする必要があります。脆弱性のあるCisco IOSリリースは次のとおりです(完全なリストではありません)。
-
11.1CC
-
12.0、12.0S、12.0T、12.0ST
-
12.1、12.1E、12.1T
-
12.2、12.2T
脆弱性を含んでいないことが確認された製品
この他のシスコ製品は該当しません。特に、次の製品には脆弱性が存在しません。
-
Cisco 12000 シリーズ インターネット ルータ
-
Supervisor Engine IおよびIIを搭載したCatalyst 6000
詳細
ルータは、MACレベルのパケット長がIPレベルで示されるパケット長よりも短いパケットを受信すると、そのパケットをIPレベルで示されるサイズまで「拡張」します。この拡張は、パケットを任意のデータでパディングすることによって行われます。ここでの問題は、パディングに、消去されていない以前のパケットからのデータが含まれている可能性があることです。
この脆弱性をコマンドでトリガーすることは可能ですが、この方法で収集される情報を予測することはできません。攻撃者は、目的のパケット(ユーザ名とパスワードの組み合わせによるパケットなど)を選択的にキャプチャすることはできません。
この脆弱性はCEFに固有のものです。ファストスイッチングはこの影響を受けません。
この脆弱性は、Cisco Bug ID CSCdu20643に記載されています。Cisco IOS 11.1CCイメージの場合、この脆弱性はCisco Bug ID CSCdp58360で説明されています。
回避策
回避策は、ルータでCEFをディセーブルにすることです。
修正済みソフトウェア
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリースと、各リリースの提供予定日が「リビルド」、「暫定」、および「メンテナンス」の列に表示されます。特定の列のリリースより前(最も古い固定リリースより前)の特定のトレインのリリースを実行しているデバイスは脆弱であることが知られており、少なくとも示されたリリースまたは新しいバージョン(最も古い固定リリースのラベルより大きい)にアップグレードする必要があります。
リリースを選択するときは、次の定義を念頭においてください。
-
Maintenance:テーブルの特定の行に含まれるラベルの、最も頻繁にテストされ、強く推奨されるリリース。
-
再構築- 同じリリース群の以前のメンテナンス リリースまたはメジャー リリースから構築されたリリース。特定の障害に対する修正が含まれています。受け取る検査は少ないですが、修理に必要な最小限の変更しか含まれていません。
-
暫定- メンテナンス リリース間に定期的に構築されるリリース。厳密なテストは実施されていません。[Interims]は、この脆弱性に対処する適切なリリースが他にない場合にのみ選択し、暫定イメージは次の利用可能なメンテナンスリリースにできるだけ早くアップグレードする必要があります。暫定リリースは製造過程では入手できず、通常はCisco Technical Assistance Center(TAC)に事前に連絡しないと、Cisco.comからダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が明確でない場合は、次のセクションに示すように、Cisco TACに連絡して支援を求めてください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
11.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
11.1CC |
7000シリーズ用EDリリース |
11.1(36)CC3 |
||
|
12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.0 |
すべてのプラットフォーム用のGDリリース |
12.0(20.4) |
||
|
12.0S |
すべてのプラットフォーム用のEDリリース |
12.0(17)ST4 |
12.0(18.3)S |
12.0(19)S |
|
12.0ST |
すべてのプラットフォーム用のEDリリース |
12.0(18.3)ST |
12.0(19)ST |
|
|
12.0T |
すべてのプラットフォーム用のEDリリース |
決定事項 |
||
|
12.0W5 |
すべてのプラットフォーム用のEDリリース |
12.0(20.4)W5(24.7) |
||
|
12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.1 |
すべてのプラットフォーム用のLDリリース |
12.1(9.2) |
12.1(10) |
|
|
12/1E |
すべてのプラットフォーム用のEDリリース |
12.1(8.5)E2 |
12.1(9.5)E |
12.1 (8a)E |
|
12.1EC |
すべてのプラットフォーム用のEDリリース |
12.1(7.5)EC1 |
12.1(9.5)EC |
|
|
12.1T |
すべてのプラットフォーム用のEDリリース |
決定事項 |
||
|
12.1XM |
すべてのプラットフォーム用のEDリリース |
12.1(5) XM6 |
||
|
12.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.2 |
すべてのプラットフォーム用のLDリリース |
12.2(2.5) |
12.2(3) |
|
|
12.2S |
すべてのプラットフォーム用のLDリリース |
12.2(3.3)S |
||
|
12.2T |
すべてのプラットフォーム用のEDリリース |
12.2(2.4)T |
12.2(4)T |
|
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
URL
改訂履歴
|
リビジョン 1.3 |
2002年4月11日 |
「該当製品」セクションに該当しない製品に、スーパーバイザエンジンIおよびIIを搭載したCatalyst 6000を追加 |
|
リビジョン 1.2 |
2002年2月28日 |
「該当製品」セクションのdCEFへの参照を削除 |
|
リビジョン 1.1 |
2002年2月28日 |
該当しない製品にCisco 12000シリーズインターネットルータを追加 |
|
リビジョン 1.0 |
2002年2月27日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。