日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Multi Protocol Label Switching(MPLS;マルチプロトコルラベルスイッチング)をサポートするInternetwork Operating System(IOS;インターネットワークオペレーティングシステム)が稼働しているCiscoルータには、MPLSが設定されていないインターフェイスに対するDenial of Service(DoS;サービス拒否)攻撃に対する脆弱性が存在します。MPLSをサポートするシステムは、MPLSが設定されていない場合でも脆弱です。
この脆弱性は、12.1T、12.2、12.2T、12.3、および12.3Tに基づくCisco IOSリリーストレインにのみ存在します。12.1メインライン、12.1Eに基づくリリース、および12.1より前のすべてのリリースには脆弱性はありません。
シスコはこの脆弱性に対処する無償ソフトウェアを提供しています。
影響を緩和するための回避策があります。
この問題はCERT/CC VU#583638で追跡されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20050126-lesで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性に該当するのは、MPLSをサポートする脆弱性が存在するIOSバージョンを実行している次の製品だけです。
-
2600および2800シリーズルータ
-
3600、3700、および3800シリーズルータ
-
4500および4700シリーズルータ
-
5300、5350、5400シリーズアクセスサーバ
上記にリストされていない製品は該当しません。
MPLSは、IPおよびIP Plusフィーチャセットではサポートされていません。したがって、IPまたはIP Plusフィーチャセットを搭載したIOSバージョンを実行している製品には脆弱性はありません。
攻撃は、MPLS Traffic Engineering(TE;トラフィックエンジニアリング)が設定されていないシステムと、MPLSが有効になっていないインターフェイスでのみ実行できます。MPLSが有効になっているインターフェイスは、show mpls interfacesコマンドで確認できます。
MPLSがサポートされていないシステムでは、次のような出力が表示されます。
Router#show mpls interfaces
^
% Invalid input detected at '^' marker.
Router#
MPLSは、ルータ上でさまざまな方法で有効にできます。次の出力では、インターフェイスEthernet0/0でIPに対してMPLSが有効になっているルータが示されています。
Router#show mpls interfaces Interface IP Tunnel Operational Ethernet0/0 Yes (tdp) No Yes Router#
IP用MPLSがインターフェイス上で有効になっている場合、ルータはそのインターフェイスからの攻撃には無防備ですが、他のインターフェイスからの攻撃には脆弱です。ルータのすべてのインターフェイスでMPLS for IPを有効にすると、ルータはどのインターフェイスからの攻撃にも耐えられるようになります。MPLS for IPが有効になっているインターフェイスのインターフェイス設定には、mpls ipコマンドまたはtag-switching ipコマンドが設定されます。
MPLS Traffic Engineering(TE)は、この脆弱性に対する優れた保護を提供します。MPLS TEがグローバルに有効になっている場合、ルータはどのインターフェイスからの攻撃にも反応しません。MPLS TEが有効になっているルータでは、show running-configの出力にmpls traffic-eng tunnelsコマンドが含まれます。
脆弱性を含んでいないことが確認された製品
脆弱性を含んでいない製品は次のとおりです。
-
Cisco IOSを実行していない製品には、脆弱性は存在しません。
-
Cisco IOSバージョン12.0以前および12.1メインラインを実行している製品には脆弱性はありません。
-
「該当製品」セクションに記載されていない製品(Cisco 7200、7500、12000シリーズおよびCatalystシステムを含みますが、これらに限定されません)には脆弱性は存在しません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
マルチプロトコルラベルスイッチング(MPLS)は、レイヤ2(オープンシステムインターコネクション(OSI)参照モデルで定義)情報をレイヤ3に統合する、ベンダーに依存しないプロトコルです。MPLSの詳細については、http://www.cisco.com/warp/public/732/Tech/mplsを参照してください。
MPLSが無効になっているインターフェイスで受信されたMPLSパケットの処理に脆弱性が存在します。MPLS Traffic Engineering(TE;トラフィックエンジニアリング)用に設定されたルータは、どのインターフェイスからの攻撃にも対して耐性があります。
MPLSが無効なインターフェイス上で巧妙に細工されたパケットを受信したシスコデバイスはリセットされ、完全に機能するまでに数分かかる場合があります。この脆弱性が繰り返し悪用されると、長時間にわたるDoS攻撃が発生する可能性があります。この問題は、Bug ID CSCeb56909(登録ユーザ専用)とCSCec86420(登録ユーザ専用)に記載されています。
このような巧妙に細工されたパケットは、ローカルネットワークセグメントからのみ送信できます。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
警告:この回避策を使用すると、ネットワークの動作に影響を与え、問題を引き起こす可能性があります。したがって、この脆弱性に該当する場合は、コードをアップグレードすることを強くお勧めします。この回避策を長期的なソリューションとして使用することは推奨されません。
MPLS Traffic Engineering(MPLS TE)をグローバルに有効にすると、この脆弱性を緩和する回避策として使用できます。MPLSが機能するにはCisco Express Forwarding(CEF)が必要なので、MPLS TEを有効にするには、まずCEFを有効にする必要があります。
CEFとMPLS TEは、次のコマンドでイネーブルにできます。
Router(config)# ip cef Router(config)# mpls traffic-eng tunnels
MPLS TEを有効にすると、ルータはどのインターフェイスからの攻撃にも耐えられるようになります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細は、次の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html
|
メジャー リリース |
修正済みリリースの入手可能性 |
||
|---|---|---|---|
|
該当する 12.1 ベースのリリース |
リビルド |
メンテナンス |
|
|
12.1DB |
12.3(4)T以降に移行 |
||
|
12.1DC |
12.3(4)T以降に移行 |
||
|
12.1T |
12.2以降に移行 |
||
|
12.1XG |
12.3以降に移行 |
||
|
12.1XI |
12.2以降に移行 |
||
|
12.1XJ |
12.3以降に移行 |
||
|
12.1XL |
12.3以降に移行 |
||
|
12.1XM |
12.3以降に移行 |
||
|
12.1XP |
12.3以降に移行 |
||
|
12.1XQ |
12.3以降に移行 |
||
|
12.1XR |
12.3以降に移行 |
||
|
12.1XT |
12.3以降に移行 |
||
|
12.1XU |
12.3以降に移行 |
||
|
12.1XV |
12.3以降に移行 |
||
|
12.1YA |
12.3以降に移行 |
||
|
12.1YB |
12.3以降に移行 |
||
|
12.1YC |
12.3以降に移行 |
||
|
12.1YD |
12.3以降に移行 |
||
|
12.1YE |
12.3以降に移行 |
||
|
12.1YF |
12.3以降に移行 |
||
|
12.1YH |
12.3以降に移行 |
||
|
12.1YI |
12.3以降に移行 |
||
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
|
12.2 |
12.2(10g) |
||
|
12.2(13e) |
|||
|
12.2(16f) |
|||
|
12.2(17d) |
|||
|
12.2(19b) |
|||
|
12.2(21a) |
|||
|
12.2(23) |
|||
|
12.2B |
12.2(2)Bから12.2(4)B7まで、12.3以降に移行 |
||
|
12.2(4)B8以降、12.3(4)T以降に移行 |
|||
|
12.2BC |
12.2(15)BC2 |
||
|
12.2BW |
12.3以降に移行 |
||
|
12.2BX |
12.3(7)XI1以降に移行 |
||
|
12.BY |
12.3(4)T以降に移行 |
||
|
12.2BZ |
12.3(7)XI1以降に移行 |
||
|
12.2CX |
12.2(15)BC2に移行 |
||
|
12.2CY |
12.2(15)BC2に移行 |
||
|
12.2CZ |
12.2(15)CZ |
||
|
12.2DA |
12.2(12)DA6 |
||
|
12.2DD |
12.3(4)T以降に移行 |
||
|
12.2DX |
12.3(4)T以降に移行 |
||
|
12.2EW |
12.2(18)EW |
||
|
12.2EWA |
12.2(20)EWA |
||
|
12.2JA |
12.2(15)JA |
||
|
12.2JK |
12.2(15)JK |
||
|
12.2MB |
12.2(19)SWに移行 |
||
|
12.2MC |
12.3(11)Tに移行 |
||
|
12.2MX |
12.3(8)T以降に移行 |
||
|
12.2SU |
12.2(14)SU |
||
|
12.2SW |
12.2(19)SW |
||
|
12.2SY |
12.2(17d)SXB以降に移行 |
||
|
12.2SZ |
12.2(20)S4に移行 |
||
|
12.2T |
12.2(13)T14 |
||
|
12.2(15)T7 |
|||
|
12.2XA |
12.3以降に移行 |
||
|
12.2XB |
12.2(2)XB18 |
||
|
12.2XC |
12.3T以降に移行 |
||
|
12.2XD |
12.3以降に移行 |
||
|
12.2XE |
12.3以降に移行 |
||
|
12.2XF |
12.2(15)BC2に移行 |
||
|
12.2XG |
12.3以降に移行 |
||
|
12.2XH |
12.3以降に移行 |
||
|
12.2XI |
12.3以降に移行 |
||
|
12.2XJ |
12.3以降に移行 |
||
|
12.2XK |
12.3以降に移行 |
||
|
12.2XL |
12.3以降に移行 |
||
|
12.2XM |
12.3以降に移行 |
||
|
12.2XN |
12.3以降に移行 |
||
|
12.2XQ |
12.3以降に移行 |
||
|
12.2XR |
12.2(15)XR |
||
|
12.2XS |
12.3以降に移行 |
||
|
12.2XT |
12.3以降に移行 |
||
|
12.2XU |
12.3以降に移行 |
||
|
12.2XV |
計画はありません。 |
||
|
12.2XW |
12.3以降に移行 |
||
|
12.2XZ |
12.3以降に移行 |
||
|
12.2YA |
12.2(4)YA8 |
||
|
12.2YB |
12.3以降に移行 |
||
|
12.2YC |
12.3以降に移行 |
||
|
12.2YD |
12.3(8)T以降に移行 |
||
|
12.2YE |
12.2(18)S以降に移行 |
||
|
12.2YF |
12.3以降に移行 |
||
|
12.2YG |
12.3以降に移行 |
||
|
12.2YH |
12.3以降に移行 |
||
|
12.2YJ |
12.3以降に移行 |
||
|
12.2YL |
12.3T以降に移行 |
||
|
12.2YM |
12.3T以降に移行 |
||
|
12.2YN |
12.3T以降に移行 |
||
|
12.2YO |
12.2(17d)SXB以降に移行 |
||
|
12.2YQ |
12.3(4)T以降に移行 |
||
|
12.2YR |
12.3(4)T以降に移行 |
||
|
12.2YS |
12.3T以降に移行 |
||
|
12.2YU |
12.3(2)T以降に移行 |
||
|
12.2YV |
12.3(4)T以降に移行 |
||
|
12.2YW |
12.3(2)T以降に移行 |
||
|
12.2YX |
12.2(14)SUに移行 |
||
|
12.2YZ |
12.2(20)S4に移行 |
||
|
12.2ZB |
12.3T以降に移行 |
||
|
12.2ZC |
12.3T以降に移行 |
||
|
12.2ZD |
12.3以降に移行 |
||
|
12.2ZE |
12.3以降に移行 |
||
|
12.2ZF |
12.3(4)T以降に移行 |
||
|
12.2ZG |
12.3(4)T以降に移行 |
||
|
12.2ZH |
12.3(4)T以降に移行 |
||
|
12.2ZI |
12.2(18)S以降に移行 |
||
|
12.2ZJ |
12.3T以降に移行 |
||
|
12.2ZL |
12.3(7)T以降に移行 |
||
|
12.2ZN |
12.3T以降に移行 |
||
|
12.2ZO |
12.3以降に移行 |
||
|
12.2ZP |
計画はありません。 |
||
|
該当する 12.3 ベースのリリース |
リビルド |
メンテナンス |
|
|
12.3 |
12.3(3f) |
||
|
12.3(5) |
|||
|
12.3B |
12.3(5a)B4 |
||
|
12.3BC |
12.3(9a)BC |
||
|
12.3BW |
12.3(5a)B以降に移行 |
||
|
12.3T |
12.3(2)T5 |
||
|
12.3(4)T7 |
|||
|
12.3(7)T |
|||
|
12.3XA |
12.3(7)T以降に移行 |
||
|
12.3XB |
12.3(8)T以降に移行 |
||
|
12.3XC |
12.3(2)XC3への移行 – 提供開始日未定 |
||
|
12.3XD |
12.3(4)XD |
||
|
12.3XE |
12.3(2)XE1 |
||
|
12.3XF |
12.3(2)XF |
||
|
12.3XG |
12.3(4)XG1 |
||
|
12.3XH |
12.3(4)XH |
||
|
12.3XI |
12.3(7)XI |
||
|
12.3XJ |
12.3(7)XJ |
||
|
12.3XK |
12.3(4)XK1 |
||
|
12.3XL |
12.3(7)XL |
||
|
12.3XM |
12.3(7)XM |
||
|
12.3XN |
12.3(4)XN |
||
|
12.3XQ |
12.3(4)XQ |
||
|
12.3XR |
12.3(7)XR |
||
|
12.3XS |
12.3(7)XS |
||
|
12.3XT |
12.3(2)XT |
||
|
12.3XU |
12.3(8)XU |
||
|
12.3XW |
12.3(8)XW |
||
|
12.3XX |
12.3(8)XX |
||
|
12.3XY |
12.3(8)XY |
||
|
12.3YA |
12.3(8)YA |
||
|
12.3YD |
12.3(8)YD |
||
|
12.3YE |
12.3(4)YE |
||
|
12.3YF |
12.3(11)YF |
||
|
12.3YG |
12.3(8)YG |
||
|
12.3YH |
12.3(8)YH |
||
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/en/US/products/products_security_advisories_listing.htmlおよび後続のアドバイザリも参照して、侵害を受ける可能性と完全なアップグレードソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、Cisco Technical Assistance Center(TAC)にお問い合わせください。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
URL
改訂履歴
|
リビジョン 1.1 |
2005年1月28日 |
「概要」セクションの表現を明確化。 「ソフトウェアバージョンと修正」表にバージョン12.2(15)T7を追加。ソフトウェアバージョンと修正の表からバージョン12.2S、12.2SX、12.2SXA、12.2SXB、および12.2SXDを削除。 |
|
リビジョン 1.0 |
2005年1月26日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。