OSPF、MPLS VPN、Supervisor 32、Supervisor 720、またはRoute Switch Processor 720を使用するCisco IOSの脆弱性

脆弱性のあるシスコデバイスは、Multi Protocol Label Switching(MPLS)Virtual Private Networking(VPN)およびOpen Shortest Path First(OSPF)のシャムリンク用に設定されると、キューのブロック、メモリリーク、またはデバイスの再起動の被害を受ける可能性があります。

この脆弱性は、Cisco Bug ID CSCsf12082(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-0537が割り当てられています。

脆弱性が存在するデバイスには、次のハードウェアとソフトウェアの組み合わせの設定が必要です。

• Cisco Catalyst Sup32、Sup720、またはRSP720が存在
  
• MPLS VPNが設定されている
  
• OSPF偽装リンクが設定されている
  

この機能を実行しているかどうかを判断するには、show running-configコマンドを使用して、address-family vpnv4およびarea sham-linkルータ設定コマンドを探します。次のコマンドは、次の基準を満たすすべての設定行を表示します。

• 「router」で始まる単語、または
  
• 「address-family vpnv4」を含む
  
• 「偽装リンク」を含む
  

Router# show run | include ^router |address-family vpnv4|sham-link
router bgp 1
  address-family vpnv4
router ospf 1 vrf VRFNAME
 area 0 sham-link  192.168.1.1 192.168.100.1
Router# 

section修飾子をサポートするIOSのバージョンが稼働しているお客様の場合、実行コンフィギュレーションの該当するセクションを表示する追加オプションを使用できます。

Router# show run | section ^router
router bgp 1
[snip]
  address-family vpnv4
router ospf 1 vrf VRFNAME
 area 0 sham-link  192.168.1.1 192.168.100.1
[snip]

上記の要件を満たすデバイスで特定のパケットが受信されると、これらのパケットを受信するインターフェイスの入力キューがブロックされ、追加のトラフィックがインターフェイスに入ることができなくなり、サービス妨害(DoS)状態が発生する可能性があります。インターフェイスキューがブロックされる可能性に加えて、デバイスでメモリリークや再起動が発生する可能性もあります。メモリリークが発生した場合、使用可能なメモリがなくなると、デバイスはトラフィックを転送できません。

MPLS VPNの詳細については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/vpn_solutions_center/1.1/user/guide/VPN_UG1.html

OSPF偽リンクの詳細については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ospfshmk.html

メモリリークの特定

この脆弱性は、I/Oメモリプールのリークとして現れる可能性があります。I/Oプールが枯渇したことを示すシステムメッセージの例を次に示します。

006029: Aug  10: %SYS-2-MALLOCFAIL: Memory allocation of 808 bytes failed from 0x41613238, alignment 32 
Pool: I/O Free: 176  Cause: Not enough free memory 
Alternate Pool: None  Free: 0  Cause: No Alternate pool 

上記の出力では、該当するメモリプールはPool: I/Oであり、原因はCause: Not enough free memoryであることに注意してください。この出力は、I/Oメモリプールが使い果たされたことを示しています。

また、enableレベルのアクセス権を持つユーザは、show buffersコマンドを使用してデバイスをチェックし、バッファ割り当て障害を特定できます。

Router#show buffers   
Buffer elements:   
496 in free list (500 max allowed)   
77298300 hits, 0 misses, 0 created   

Public buffer pools:   
Small buffers, 104 bytes (total 148654, permanent 1024, peak 148654 @ 1d12h):   
0 in free list (128 min, 2048 max allowed)   
24688031 hits, 4023203 misses, 0 trims, 147630 created   
3243434 failures (3182828 no memory) 

上記の出力は、メモリ不足が原因でバッファの割り当てに失敗したことを示しています。

ブロックされたインターフェイスの識別

このタイプのブロックされたキューの症状は、ルーティングプロトコル(OSPF、Enhanced Interior Gateway Routing Protocol(EIGRP)、Border Gateway Protocol(BGP)、Intermediate System to Intermediate System(ISIS)など)やMPLS TDP/LDPなどのコントロールプレーンプロトコルが、該当するインターフェイス上で接続を適切に確立できないことです。

ブロックされた入力インターフェイスを特定するには、show interfacesコマンドを発行して、Input Queue行を検索します。入力キューのサイズは増加し続ける可能性があります。現在のサイズ（次の例では76）が最大サイズ(75)よりも大きい場合、入力キューはブロックされます。

デバイスがコントロールプレーン宛てのトラフィックを高いレートで受信し、キュー全体が一時的なイベントである可能性があります。インターフェイスが実際にブロックされているかどうかを確認するには、shutdownインターフェイス設定コマンドを使用してインターフェイスをシャットダウンし、入力キューを調べます。入力キューに0パケットが表示されない場合、インターフェイスはブロックされます。

Router#show interface ethernet 0/0
Ethernet0/0 is up, line protocol is up  
  Hardware is AmdP2, address is 0050.500e.f1e0 (bia 0050.500e.f1e0)   
  Internet address is 172.16.1.9/24
  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255
  Encapsulation ARPA, loopback not set, keepalive set (10 sec)
  ARP type: ARPA, ARP Timeout 04:00:00  
  Last input 00:00:41, output 00:00:07, output hang never
  Last clearing of "show interface" counters 00:07:18
  Input queue: 76/75/1091/0 (size/max/drops/flushes); Total output drops: 0  


!--- The 76/75 shows that this is blocked

デバイスインターフェイスキューが使い果たされると、デバイスを再起動するだけで、ブロックされたキュー内のOSPFパケットをクリアできます。

これらのパケットの処理方法により、キューブロックはOSPF MD5チェックの前に発生します。OSPF MD5設定は、この脆弱性からデバイスを保護しません。

Selective Packet Discard(SPD)ヘッドルームの増加

最も基本的なレベルでは、Selective Packet Discard(SPD)により、コントロールプレーントラフィックに対する拡張バッファリングが提供されます。SPDヘッドルームと呼ばれるこのキュー項目数は、通常、IP Precedenceが6（BGPなど）、Connectionless Network Service(CLNS)ベースのルーティングプロトコルIntermediate System-to-Intermediate System(IS-IS)、OSPF、およびレイヤ2キープアライブと等しいトラフィック用に予約されています。

SPDヘッドルームを増やすと、OSPFパケットのバッファリングが増えます。キューがブロックされた場合は、SPDヘッドルームを増やして、コントロールプレーントラフィックバッファ領域を増やすことができます。

SPDの詳細については、次のホワイトペーパーを参照してください。

http://www.cisco.com/web/about/security/intelligence/spd.html

より多くのパケットに対応するためにキューサイズを拡張することは可能ですが、拡張されたキューが使い果たされるまでパケットは累積されます。トラフィックのフローを継続できるようにする一時的な回避策として、input hold queueを増やすことができます。これ以上の不正なパケットがキューをいっぱいにしますが、入力キューの深さを増やすと、入力キューがいっぱいになり、トラフィックのフローが停止するまでの時間が長くなる可能性があります。次の例は、入力キューのサイズをデフォルトの75から最大の4096に設定する方法を示しています。

Router# configure terminal
Router(configure)# interface FastEthernet 0/0
Router(config-if)# hold-queue 4096 in

OSPF偽リンク設定の削除

この脆弱性が存在するにはOSPF偽リンク設定が必要であるため、偽リンク機能を削除することで、この脆弱性の影響を受けなくなります。デバイスからOSPF偽リンク設定を削除するには、偽リンクが設定されている各インターフェイスでOSPF設定を変更する必要があります。

OSPFシャムリンクの設定情報については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ospfshmk.html

Cisco IOS Embedded Event Manager

Cisco IOS Embedded Event Manager(EEM)は、Cisco IOSデバイス上でイベントの検出および反応機能を提供します。EEMポリシーを使用すると、ブロックされたインターフェイスキューを検出できます。EEM は 管理者に対してインターフェースがブロックされたことを email, syslog メッセージ または Simple Network Management Protocol (SNMP) trap により警告することができます。

インターフェースがブロックされたことを管理者に syslog で警告することができるサンプル EEM ポリシーを EEM 専門のオンラインコミュニティ Cisco Beyond で入手することが出来ます。サンプル スクリプトは次のリンクで入手可能です:

http://forums.cisco.com/eforum/servlet/EEM?page=eem&fn=script&scriptId=981

EEM についての追加情報は、次の Cisco.com へのリンクより入手可能です:

http://www.cisco.com/en/US/products/ps6815/products_ios_protocol_group_home.html

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、お客様からシスコに報告されたものです。