日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Security Advisory: Multiple SSH Vulnerabilities(https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010627-ssh)に記載されている脆弱性を修正する際に、一部の製品で不安定性が発生しました。攻撃者が脆弱性VU#945216(http://www.kb.cert.org/vuls/id/945216のCERT/CC Vulnerability Noteに記載)を不正利用しようとすると、SSHモジュールがプロセッサの時間を過度に消費し、DoSを引き起こします。場合によっては、デバイスがリブートします。公開するには、デバイスでSSHを有効にする必要があります。
該当する製品ラインは次のとおりです。
-
SSHをサポートするCisco IOS®ソフトウェアを実行するすべてのデバイス。これには、Cisco IOSソフトウェアが稼働するルータとスイッチが含まれます。
-
CatOSが稼働するCatalyst 6000スイッチ
-
Cisco PIX ファイアウォール.
-
Cisco 11000コンテンツサービススイッチファミリ
脆弱性が存在する他のシスコ製品はありません。SSHトラフィックを防止または制御することで、この脆弱性を緩和できます。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020627-ssh-scanで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
脆弱性を含む製品は次のとおりです。
-
SSHをサポートするCisco IOSソフトウェアを実行するすべてのデバイス。これには、Cisco IOSソフトウェアが稼働するルータとスイッチが含まれます。
-
CatOSが稼働するCatalyst 6000スイッチ
-
Cisco PIX ファイアウォール.
-
Cisco 11000コンテンツサービススイッチファミリ
|
製品カテゴリ |
脆弱性ID |
|---|---|
|
IOS |
0.CSCdw33027 |
|
PIX |
0.CSCdw29965 |
|
VPN 3000 |
Not affected |
|
Catalyst 6000 |
CSCdv85279およびCSCdw59394 |
|
CSS 11000 |
0.CSCdx59197 |
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010627-sshにリストされているすべてのソフトウェアリリース(このアドバイザリで対処されるパッチを含む後続のすべてのソフトウェアリリースを含む)に脆弱性が存在します。
脆弱性を含んでいないことが確認された製品
前のSSHアドバイザリに記載された問題の修正を含まないソフトウェアは、このアドバイザリに記載された問題に対して脆弱ではありません。ただし、前のソフトウェアリリースに戻すと、前のアドバイザリで説明した脆弱性の影響を受け、新しいリリースで導入された追加機能が失われます。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010627-ssh(Ciscoセキュリティアドバイザリ:複数のSSH脆弱性)に記載されている脆弱性を修正する一方で、一部の製品に不安定な状態が発生します。過度に大きなパケットにさらされると、SSHプロセスはプロセッサの命令サイクルの大部分を消費し、事実上DoSを引き起こします。このようなパケットを作成する機能は、一般に公開されているエクスプロイトコードで利用できます。場合によっては、このアベイラビリティ攻撃によってデバイスがリブートされることがあります。公開するには、デバイスでSSHを有効にする必要があります。
問題の脆弱性は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010627-sshにあるCRC-32 Checkという名前です。また、VU#945216としてマークされ、http://www.kb.cert.org/vuls/id/945216のCERT/CC Vulnerability Noteに記載されています。
回避策
この脆弱性は、次の2つの方法で緩和できます。
-
ネットワークの境界ですべてのSSH接続をブロックする
-
個々のデバイスで、必要なIPアドレスからのSSH接続のみを許可し、その他すべての接続をブロックします。
ネットワークエッジですべてのSSH接続と外部から発信されるべきではないその他すべてのプロトコルをブロックすることは、ネットワークセキュリティのベストプラクティスに不可欠です。
修正済みソフトウェア
CSS 11000ファミリの場合、この脆弱性は次のソフトウェアリリースで修正されています。
|
WebNS |
R5.00.045以降(現在利用可能) 5.10.1.01(2002年7月利用可能) |
Catalyst 6000スイッチでは、この脆弱性は次のCatOSリリースで修正されています。次の表に、最初の修正リリースを示します。
|
CatOS |
6.3(3.6)、7.1(0.94)、7.2(0.14)PEN |
表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリースと、各リリースの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。特定の列のリリースより前(最初の修正リリースより前)のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン(最初の修正リリースのラベルより後)にアップグレードする必要があります。リリースを選択するときは、次の定義を念頭においてください。
-
メンテナンス
表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。
-
リビルド
同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。
-
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製品としては提供されず、通常は、Cisco Technical Assistance Center(TAC)によって事前に手配されない限り、CCO からダウンロードできません。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次のセクションに示すように、Cisco TACに連絡して支援を求めてください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
PIX Firewallソフトウェアについては、次の表を使用して、該当するソフトウェアリリースと修正済みのソフトウェアリリースを確認してください。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
5.xベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
5.2 |
Classic、10000、506、506E、510、515、515E、520、および525の一般導入(GD) |
5.2(6)202 TACを通じて提供 |
5.2(7) |
|
|
5.3 |
クラシック、10000、506、506E、510、515、515E、520、525、および535の早期導入(ED) |
5.3(2)205 TACを通じて提供 |
5.3(3) |
|
|
6.xベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
6.0 |
501、506、506E、515、515E、520、525、および535の早期導入(ED) |
6.0(1)106 TACより提供 |
6.0(2) |
|
|
6.1 |
501、506、506E、515、515E、520、525、および535の早期導入(ED) |
6.1(1)105 TACを通じて提供 |
6.1(2) |
|
|
6.2 |
501、506、506E、515、515E、520、525、および535の早期導入(ED) |
6.2(0)222 TACを通じて提供 |
6.2(1) |
|
Cisco IOSソフトウェアの場合は、次の表を使用して、該当するソフトウェアリリースと修正済みのソフトウェアリリースを確認してください。この表には常に最初の修正済みリリースが記載されていますが、これは必ずしも特定の環境に推奨されるリリースではありません。
|
リリース群 |
イメージまたはプラットフォームの説明 |
修正リリースのアベイラビリティ |
||
|---|---|---|---|---|
|
12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(17)S4 |
12.0(20.4)S |
12.0(21)S |
|
12.0SP |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(20)SP2 |
12.0(20.4)SP |
|
|
12.0ST |
コア/ISPサポート:GSR、RSP、c7200 |
12.0(17)ST5 |
12.0(20.3)ST2 |
12.0(21)S |
|
12.0XB |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(1)T以降に移行 |
||||
|
12.0XM |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(3)T以降に移行 |
||||
|
12.0XV |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(2)T以降に移行 |
||||
|
12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.1 |
すべてのプラットフォーム向けの一般導入リリース |
SSHはサポートされていません |
||
|
12.1E |
コア/ISPサポート:GSR、RSP、c7200、Catalyst 6000 |
12.1(8b)E8 |
12.1(10.5)E |
12.1(11b)E |
|
12.1EC |
Early Deploymentリリース |
12.1(10.5)EC |
12.1(12c)EC |
|
|
12.1(1)EX |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(3)T以降に移行 |
||||
|
12.1(5c)EX |
Catalyst 6000のサポート |
未スケジュール |
||
|
12.1(6)EX以降に移行 |
||||
|
12.1(8a)EX |
12.1EベースのXED |
未スケジュール |
||
|
12.1(11)E以降に移行 |
||||
|
12.1(9)EX |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(10)EX以降に移行 |
||||
|
12.1T |
Early Deployment(ED):VPN、Distributed Director、各種プラットフォーム |
未スケジュール |
||
|
12.2以降に移行 |
||||
|
12.1XB |
Early Deploymentリリース |
未スケジュール |
||
|
12.1(5)YB以降に移行 |
||||
|
12.1XC |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2以降に移行 |
||||
|
12.1XF |
Early Deployment(ED):811および813(c800イメージ) |
12.1(2)XF6リリース日は未定 |
計画なし、12.1(5)T以降に移行 |
|
|
12.1XG |
早期導入(ED):800、805、820、1600 |
12.1(3)XG7リリース日未定 |
計画なし、12.2(1)T以降に移行 |
|
|
12.1XH |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2以降に移行 |
||||
|
12.1XI |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2以降に移行 |
||||
|
12.1XJ |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2(2)T以降に移行 |
||||
|
12.1XL |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2以降に移行 |
||||
|
12.1XM |
短期初期配備リリース |
12.1(5)XM7 |
計画なし、12.2(1)T以降に移行 |
|
|
12.1XP |
短期初期配備リリース |
未スケジュール |
||
|
12.2(2)T以降に移行 |
||||
|
12.1XQ |
短期初期配備リリース |
未スケジュール |
||
|
12.2(2)XB以降に移行 |
||||
|
12.1XT |
Early Deployment(ED):1700シリーズ |
未スケジュール |
||
|
12.2(2)T以降に移行 |
||||
|
12.1XU |
Early Deployment(ED):プラットフォームが限られている |
未スケジュール |
||
|
12.2T以降に移行 |
||||
|
12.1YB |
短期初期配備リリース |
12.1(5)YB6リリース日未定 |
計画なし、12.2(2)T以降に移行 |
|
|
12.1YC |
短期初期配備リリース |
12.1(5)YC3リリース日未定 |
計画なし、12.2(4)T以降に移行 |
|
|
12.1YD |
短期初期配備リリース |
未スケジュール |
||
|
12.2(8)T以降に移行 |
||||
|
12.1YE |
短期初期配備リリース |
未スケジュール |
||
|
12.1(5)YI以降に移行 |
||||
|
12.1YF |
短期初期配備リリース |
未スケジュール |
||
|
12.2(2)XN以降に移行 |
||||
|
12.1YI |
短期初期配備リリース |
未スケジュール |
||
|
12.2(2)YC以降に移行 |
||||
|
12.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
|
12.2 |
すべてのプラットフォーム向けの一般導入リリース |
12.2(6b) |
12.2(7.4) |
12.2(7) |
|
12.2B |
Early Deploymentブロードバンドリリース |
12.2(4)B3 |
12.2(7.6)B |
|
|
12.2BC |
Early Deployment BroadbandリリースuBR7000およびuBR10000 |
12.2(8)BC1 |
||
|
12.2DA |
Early Deployment(ED)リリース:xDSL |
12.2(6.8a)DA |
12.2(7)DA |
|
|
12.2DD |
7200および7400向けSpecific Technology Early Deploymentリリース |
未スケジュール |
||
|
12.2(4)B1以降に移行 |
||||
|
12.2S |
SPLOB |
12.2(7.4)S |
||
|
12.2T |
すべてのプラットフォーム向けの一般導入リリース |
12.2(7.4)T |
12.2(8)T |
|
|
12.2XA |
Early Deploymentリリース |
未スケジュール |
||
|
12.2(4)Tまたは12.2(2)XBに移行 |
||||
|
12.2XB |
Early Deploymentリリース |
12.2(2)XB4 2002年7月提供開始 |
||
|
12.2XD |
ICS7750、820、soho70 |
12.2(1)XD4 |
計画なし、12.2(8)T以降に移行 |
|
|
12.2XE |
806、820、soho78 |
12.2(1)XE3 |
計画なし、12.2(8)T以降に移行 |
|
|
12.2XF |
DOCSYSサポート、uBR7100、uBR7200、uBR10000 |
未スケジュール |
||
|
12.2(4)BC1に移行 |
||||
|
12.2XG |
IAD2400/2600/3600 |
未スケジュール |
||
|
12.2(8)Tに移行 |
||||
|
12.2XH |
1700、800、820、soho70 |
12.2(2)XH3 |
計画なし、12.2(8)Tに移行 |
|
|
12.2XI |
Early Deploymentリリース820/SOHO |
12.2(2)XI2 |
計画なし、12.2(12)Tに移行 |
|
|
12.2XJ |
1700 |
未スケジュール |
||
|
12.2(4)YBに移行 |
||||
|
12.2XK |
Early Deploymentリリース820/SOHO |
12.2(2)XK3 |
計画なし、12.2(12)Tに移行 |
|
|
12.2XL |
1700、820、800、SOHO70 |
12.2(4)XL5 2002年6月提供開始 |
計画なし、12.2(12)Tに移行 |
|
|
12.2XM |
Early Deploymentリリース |
12.2(4)XM4 |
||
|
12.2XN |
MGCPサポート強化のためのEarly Deploymentリリース、一部のプラットフォーム |
未スケジュール |
||
|
推奨されるリリースへのアップグレードはまだ決定されていません |
||||
|
12.2XQ |
1720、1750、1752 |
未スケジュール |
||
|
12.2(4)YB以降に移行 |
||||
|
12.2XR |
短期初期配備リリース |
未スケジュール |
||
|
12.2(4)XR以降に移行 |
||||
|
12.2XS |
短期初期配備リリース |
未スケジュール |
||
|
12.2(6) 以降に移行 |
||||
|
12.2XT |
短期初期配備リリース |
未スケジュール |
||
|
12.2(8)T以降に移行 |
||||
|
12.2XW |
短期初期配備リリース |
未スケジュール |
||
|
12.2(4)YB以降に移行 |
||||
|
12.2YA |
Early Deploymentリリース |
12.2(4)YA2 |
||
|
12.2YB |
短期初期配備リリース |
未スケジュール |
||
|
アップグレードは未確定リリースに推奨 |
||||
|
12.2YC |
短期初期配備リリース |
未スケジュール |
||
|
12.2(13)T以降に移行 |
||||
|
12.2YD |
7200のブロードバンドサポート |
未スケジュール |
||
|
12.2(8)B以降に移行 |
||||
|
12.2YF |
短期初期配備リリース |
未スケジュール |
||
|
アップグレードは未確定リリースに推奨 |
||||
|
12.2YG |
Early Deploymentリリース |
12.2(4)YG |
||
|
12.2YH |
1700、8xx、soho7x、ICS7700 |
12.2(4)YH |
||
|
注意事項 |
||||
|
日付はすべて予定であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 |
||||
推奨事項
不正利用事例と公式発表
この不具合は、一般に入手可能な悪意のあるソフトウェアによって引き起こされることが知られています。脆弱なバージョンのSSHを実行しているUnixホストのスキャンが広く普及しており、そのようなスキャンによってこの脆弱性が引き起こされる可能性があります。
Cisco PSIRTでは、この脆弱性に関連する問題を経験した少数のお客様がいることを認識していますが、これらのデバイスが直接ターゲットにされたという証拠はありません。
URL
改訂履歴
|
リビジョン 1.0 |
2002年6月27日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。