日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Service Assurance Agent(SAA;サービス保証エージェント)は、Response Time Reporter(RTR)機能の新しい名前です。
ルータは、RTRレスポンダが有効になっている場合にのみ脆弱です。ルータが不正なRTRパケットを受信すると、そのパケットはクラッシュします。RTRはデフォルトで無効になっています。RTRはCisco IOS®ソフトウェアリリース11.2で導入されましたが、脆弱性が存在するのは次のメインリリースだけです。
- 12.0S、SC、ST、SL、SP、SX
- 12.1、E、EA、EC、EX、EY
- 12.2、DA、S
完全なリストについては、「ソフトウェアバージョンと修正」セクションを参照してください。
脆弱性が存在する他のシスコ製品はありません。
RTRレスポンダを無効にする以外に回避策はありません。ルータにアクセスコントロールリスト(ACL)を適用することで、脆弱性を緩和できます。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030515-saaで確認できます。
該当製品
脆弱性のある製品
この脆弱性は、次の主要なCisco IOSソフトウェアリリースに影響します(一部のXリリースも影響を受けます。詳細については、「ソフトウェアバージョンと修正」セクションを参照してください)。
|
メジャー リリース |
脆弱性のあるリリース |
|---|---|
|
12.0S |
15、16、17、18、19、21 |
|
12.0SC |
15 16 |
|
12.0SL |
15、17、19 |
|
12.0ST |
16、17、18、19、20、21 |
|
12.0SP |
19 20 |
|
12.0SX |
21 |
|
12.1 |
10、10a、11、11a、11b、12、12a、12b、12c、13、14、14.5 |
|
12.1E |
10、11b、11.5 |
|
12.1EA |
8 9 |
|
12.1EC |
10 10.5 |
|
12.1EX |
10 |
|
12.1EY |
10 |
|
12.2 |
6.8a、7、7a、7b、7c |
|
12.2DA |
7 9.4 |
|
12.2S |
9 10.5 |
脆弱性を含んでいないことが確認された製品
詳細
RTR機能を使用すると、応答時間とアベイラビリティを測定して、ネットワークのパフォーマンス、ネットワークリソース、およびアプリケーションを監視できます。この機能を使用すると、Response Time Reporter(RTR)の統計情報に基づいて、トラブルシューティング、問題通知、および問題分析を実行できます。
ルータは、RTRレスポンダが有効になっている場合にのみ脆弱です。これを確認するには、ルータの設定を確認します。ルータにログオンしたまま、次のコマンドを実行します。
Router>show rtr responder
RTR Responder is: Enabled
Number of control messages received: 0 Number of errors: 0
Recent sources:
Recent error sources:
「RTR Responder is: Enabled」という行が表示された場合は、脆弱性が存在します。
または、次の手順を使用できます。
Router>show ip socket
show ip socket
Proto Remote Port Local Port In Out Stat TTY OutputIF
....
17 0.0.0.0 0 10.0.0.1 1967 0 0 89 0
上記の例のように、ルータがポート1967をリッスンしている行が見つかった場合は、脆弱性が存在します。
Cisco IOSソフトウェアに関しては、この脆弱性は2つのCisco Bug ID CSCdx17916およびCSCdx61997として文書化されています。
回避策
RTRレスポンダを無効にする以外に回避策はありません。この脆弱性は、ルータにACLを適用することで緩和できます。
RTRをディセーブルにするには、次のコマンドを実行する必要があります。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no rtr responder
Router(config)#exit
Router#copy running-config startup-config
ネットワークエッジ上の問題のパケットをすべてブロックする場合は、ACLを作成するか、既存のACLを変更して、次のようなエントリを含める必要があります。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 101 deny udp any any eq 1967
Router(config)#interface eth0
Router(config)#ip access-group 101 in
この例では、インターフェイスeth0がネットワークエッジの方向を向いていると想定しています。ルータの正しいインターフェイスの代わりに使用する必要があります。
これにより、ポート1967/UDP宛てのパケットがネットワークに入るのを防ぐことができます。これらのパケットがネットワークを通過できるようにする必要がある場合、ACLは内部ルータのみを除外する必要があります。
ネットワークエッジでパケットをフィルタリングすることに加えて、デバイス自体にフィルタリングを適用して、既知の適切な送信元からのパケットだけを許可することもできます。これは、この問題の全体的な緩和に貢献します。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 101 permit udp 10.0.0.1 10.0.0.10 eq 1967
Router(config)#access-list 101 deny udp any 10.0.0.10 eq 1967
Router(config)#interface eth0
Router(config-if)#ip access-group 101 in
この例では、10.0.0.1が正当な送信元で、10.0.0.10がルータ自体のアドレスです。
修正済みソフトウェア
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリース(「最初の修正リリース」)とそれぞれの提供予定日が「リビルド」、「暫定」、および「メンテナンス」の各列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。リリースを選択する際には、次の定義に注意してください。
- メンテナンス:表の特定の行で最も頻繁にテストされ、安定しており、強く推奨されるリリーストレインのリリースです。
- 再構築- 同じリリース群の以前のメンテナンス リリースまたはメジャー リリースから構築されたリリース。特定の障害に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
- 暫定- メンテナンス リリース間に定期的に構築されるリリース。厳密なテストは実施されていません。暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、http://www.cisco.comからダウンロードできません。
すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。
Cisco IOSソフトウェアのリリース名と省略形の詳細については、http://www.cisco.com/web/about/security/intelligence/ios-ref.htmlを参照してください。
修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。
|
メジャー リリース |
説明またはプラットフォーム |
修正済みリリースの入手可能性* |
|||
|---|---|---|---|---|---|
|
該当する以前のリリース |
リビルド |
暫定 |
メンテナンス |
||
|
11.1以前、すべてのバリアント |
多数 |
脆弱性なし |
|||
|
Affected 11.2-Based Releases |
リビルド |
暫定 |
メンテナンス |
||
|
11.2バリアント |
多数 |
脆弱性なし |
|||
|
Affected 11.3-Based Releases |
リビルド |
暫定 |
メンテナンス |
||
|
11.3バリアント |
多数 |
脆弱性なし |
|||
|
Affected 12.0-Based Releases |
リビルド |
暫定 |
メンテナンス |
||
|
12.0S |
コア/ISPサポート:GSR、RSP、c7200、Cat6000 |
12.0(21)S3 |
12.0(21.03)S |
||
|
12.0SC |
ケーブル/ブロードバンドISP:ubr7200 |
計画なし 12.1ECリリースへの移行 |
|||
|
12.0SL |
10000 ESR:c10k |
Pre1カードを使用している場合は、12.0STまたは12.0Sに移行します。 Preカードの場合、日付はまだ決定されていません。 |
|||
|
12.0SP |
c10720 |
12.0(20)SP3 |
12.0(20.04)SP2 |
||
|
12.0ST |
MPLS/タグスイッチング、GSR 12000、7200、7500 |
12.0(19)ST5 12.0(21)ST2 |
|||
|
12.0SX |
ESR向け短期初期導入リリース10000c10k |
未定 |
|||
|
12.0SY |
12.0(21.03)SY |
12.0(22)SY |
|||
|
12.0WC |
2900XLおよび3500XL用の短期初期配備リリース |
12.0(5)WCa |
|||
|
12.0XE |
短期初期配備リリース |
計画なし 12.2リリース以降に移行 |
|||
|
Affected 12.1-Based Releases |
リビルド |
暫定 |
メンテナンス |
||
|
12.1 |
General Deployment(GD)候補:すべてのプラットフォーム |
12.1(18.1) |
12.1(18) |
||
|
12.1E |
コア/ISPサポート:GSR、RSP、c7200 |
12.1(12.5)E |
12.1(13)E |
||
|
12.1EA |
Catalyst 2950 |
12.1(8)EA1c |
|||
|
12.1EC |
早期導入(ED):ubr7200、UBRヘッドエンドプラットフォーム |
12.1(12c)EC |
|||
|
12.1EW |
Early Deploymentリリース、限定プラットフォーム |
12.1(11b)EW |
|||
|
12.1EW |
Early Deploymentリリース、限定プラットフォーム |
12.1(11b)EW(0.46) |
|||
|
12.1EX |
Catalyst 6000 |
12.1(11b)EX |
|||
|
12.1XF |
短期初期配備リリース |
12.1(5)T以降への移行は計画外 |
|||
|
12.1XG |
短期初期配備リリース |
12.1(1)T以降への移行は計画外 |
|||
|
12.1YB |
短期初期配備リリース |
12.1(2)T以降への移行は計画外 |
|||
|
12.1YC |
短期初期配備リリース |
12.1(4)T以降への移行は計画外 |
|||
|
Affected 12.2-Based Releases |
リビルド |
暫定 |
メンテナンス |
||
|
12.2 |
General Deployment(GD)候補:すべてのプラットフォーム |
12.2(10.4) |
12.2(10) |
||
|
12.2(4)B |
6400、7200、および7400の早期導入 |
12.2(13.3)B |
|||
|
12.2BC |
uBR7000およびuBR10000の早期導入 |
未定 |
|||
|
12.2BY |
Early Deploymentリリース |
計画なし 12.2Bリリースへの移行 |
|||
|
12.2BZ |
Early Deploymentリリース |
12.2(15)BZ |
|||
|
12.2DA |
Early DeploymentリリースxDSLサポート:6100、6200 |
12.2(11.4)DA |
12.2(12)DA |
||
|
12.2MB |
2600および7500向けEarly Deploymentリリース |
12.2(4)MB5 |
|||
|
12.2S |
コアISPサポート |
12.2(11.1)S |
|||
|
12.2XC |
Early Deploymentリリース |
12.2(1a)XC5 |
|||
|
12.2XD |
ICS7750/820/soho70 |
計画なし 12.2(8)YN以降に移行 |
|||
|
12.2XE |
806、828、soho78 |
計画なし 12.2(8)T以降に移行 |
|||
|
12.2XH |
1700 820/800/soho70 |
計画なし 12.2(8)T以降に移行 |
|||
|
12.2XI |
820/soho |
計画なし 12.2(12)T以降に移行 |
|||
|
12.2XJ |
1700 |
計画なし 12.2(4)YB以降に移行 |
|||
|
12.2XK |
820/soho |
12.2(2)XK3 |
|||
|
12.2XL |
1700 820/800/soho70 |
12.2(4)XL5 |
|||
|
12.2XM |
短期初期配備リリース |
計画なし 12.2(8)YB以降に移行 |
|||
|
12.2YA |
短期初期配備リリース |
12.2(4)YA3 |
|||
|
12.2YB |
短期初期配備リリース |
計画なし 12.2(8)YB以降に移行 |
|||
|
12.2YC |
短期初期配備リリース |
12.2(4)YC4 |
|||
|
12.2YF |
Cisco Packet Data Servingノードics7700 |
決定されるリリース日 |
|||
|
12.2YG |
短期初期配備リリース |
12.2(4)YG |
|||
|
12.2YH |
短期初期配備リリース |
12.2(4)YH |
|||
|
注意事項 |
|||||
|
*すべての日付は概算であり、変更される可能性があります。 通常のメンテナンス リリースと比較した場合、暫定リリースに対しては厳格なテストが実施されていないため、重大なバグが含まれている可能性があります。 |
|||||
推奨事項
不正利用事例と公式発表
URL
改訂履歴
|
リビジョン 1.0 |
2003年5月15日、15:00 UTC(GMT) |
初回公開リリース |
|
リビジョン 1.1 |
2003-December-12 |
「不正利用と公表」セクションでRouter(config)#ip access-group 101 inをRouter(config)#ip access-group 101 inに変更。 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。