Cisco IOS IPSのDoS脆弱性

ダウンロード オプション

  • PDF     (409.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (79.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 9 月 24 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20080924-iosips
初公開日 : 2008-09-24 16:00
バージョン 1.1 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID : CSCsq13348
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco IOS Intrusion Prevention System(IPS)機能には、SERVICE.DNSエンジンを使用する特定のIPSシグニチャの処理に脆弱性が存在します。この脆弱性により、ルータがクラッシュまたはハングし、その結果サービス妨害(DoS)状態が発生する可能性があります。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対しては回避策があります。

注:この脆弱性は、CVE-2008-1447 – キャッシュポイズニング攻撃とは関連がありません。Cisco Systemsは、この脆弱性に関するCisco Security Advisoryを公開しています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080708-dnsで参照できます。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosips で公開されています。

注:2008年9月24日のIOSアドバイザリバンドル公開には12件のSecurity Advisoryが含まれています。11件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正するリリースが記載されています。

各ドキュメントへのリンクは次のとおりです。

該当製品

脆弱性のある製品

Cisco IOS IPS機能が設定されているCisco IOSデバイスは、組み込みシグニチャまたは外部シグニチャファイルを使用するように設定されているかどうかに関係なく、脆弱性の影響を受けます。バージョン4またはバージョン5のシグニチャを使用しているデバイスは、この脆弱性の影響を受けます。

Cisco IOS IPS機能は、デフォルトでは有効になっていません。show ip ips interfacesコマンドを使用すると、Cisco IOS IPS機能が設定されていて、デバイスの任意のインターフェイスに適用されているかどうかを確認できます。次に例を示します。

Router#show ip ips interfaces
    Interface Configuration
      Interface FastEthernet0/0
        Inbound IPS rule is ios-ips-incoming
        Outgoing IPS rule is not set
      Interface FastEthernet0/1
        Inbound IPS rule is not set
        Outgoing IPS rule is ios-ips-outgoing
Router#

Cisco IOS IPS機能が設定されていない場合のshow ip ips interfacesコマンドの出力は、デバイスにインストールされて実行されているCisco IOSリリースによって異なります。次の例のようになります。

Router#show ip ips interfaces

Router#

または、次のような場合があります。

Router#show ip ips interfaces
Interface Configuration
  IPS is not configured on any interface
Router#

下記の「ソフトウェアバージョンおよび修正」セクションに記載されているバージョンより前のCisco IOSのバージョンには、脆弱性が存在します。

シスコ製品で稼働しているCisco IOSソフトウェアのバージョンを確認するには、デバイスにログインし、show versionコマンドを発行してシステムバナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。

次の例は、シスコ製品でCisco IOSソフトウェアリリース12.3(26)が稼働し、インストールされているイメージ名がC2500-IS-Lであることを示しています。

Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by cisco Systems, Inc.
Compiled Mon 17-Mar-08 14:39 by dchih


Router#

次の例は、Cisco IOSソフトウェアリリース12.4(20)Tが稼働し、イメージ名がC1841-ADVENTERPRISEK9-Mの製品を示しています。

Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 10-Jul-08 20:25 by prod_rel_team


Router#

Cisco IOSリリースの命名規則の追加情報は、http://www.cisco.com/warp/public/620/1.htmlにある『White Paper: Cisco IOS Reference Guide』というドキュメントに記載されています。

脆弱性を含んでいないことが確認された製品

次のシスコ製品には脆弱性が存在しないことが確認されています。

  • Intrusion Detection System(IDS;侵入検知システム)機能を実行しているCisco IOSデバイス
  • 侵入検知システム(IDS)機能を実行しているCisco ASAセキュリティアプライアンス
  • 侵入検知システム(IDS)機能を実行しているCisco PIX 500シリーズセキュリティアプライアンス
  • Cisco IPS 4200センサー
  • ASA 5500シリーズ適応型セキュリティアプライアンス向けCisco AIP-SSM
  • Cisco Catalyst 6500 シリーズ Intrusion Detection System(IDSM-2)サービス モジュール
  • サービス統合型ルータ用Cisco IPS Advanced Integration Module

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

Cisco IOS Intrusion Prevention System(IPS)は、インラインのディープパケットインスペクション機能で、幅広いネットワーク攻撃を効果的に軽減します。Cisco IOS Integrated Threat Controlフレームワークのコンポーネントの1つであり、Cisco IOS Flexible Packet Matching機能によって補完されるCisco IOS IPSは、悪意のあるトラフィックをリアルタイムで正確に特定、分類、停止、またはブロックするためのインテリジェンスをネットワークに提供します。Cisco IOS IPS機能の詳細については、http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/gt_fwids.htmlを参照してください。

Cisco IOS IPS機能が導入される前は、Cisco IOSは同様の機能であるCisco IOS Intrusion Detection System(IDS;侵入検知システム)を提供していました。Cisco IOS IDS機能は、この脆弱性の影響を受けません。Cisco IOS IDS機能の詳細については、http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/ios_ids.htmlを参照してください。

特定のネットワークトラフィックがSERVICE.DNSシグニチャエンジンでIPSシグニチャをトリガーする可能性があり、これによりCisco IOSデバイスがクラッシュまたはハングする可能性があります。これにより、サービス拒否が発生し、ネットワークトラフィックが中断される可能性があります。この脆弱性は、Cisco Bug ID CSCsq13348 (登録ユーザ専用)に記載されています。

この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2739が割り当てられています。

回避策

回避策としては、デバイスに設定されているすべてのCisco IOS IPSポリシーにアクセスコントロールリスト(ACL)を追加して、ポート53/udpまたは53/tcp宛てのトラフィックがCisco IOS IPS機能によって検査されないようにします。次のACLをデバイス設定に追加する必要があります。

! deny inspection of traffic with a destination port of 53/udp
access-list 177 deny   udp any any eq 53
! deny inspection of traffic with a destination port of 53/tcp
access-list 177 deny   tcp any any eq 53
! allow all other traffic to be inspected
access-list 177 permit ip any any

デバイス上のCisco IOS IPSポリシーのすべてのインスタンスは、以前のACLを参照するために変更する必要があります。デバイスに設定されているCisco IOS IPSポリシーを確認するには、show running-configコマンドを実行します。 | include ip ips nameコマンドを実行します。

Router#show running-config | include ip ips name
ip ips name ios-ips-incoming
ip ips name ios-ips-outgoing
Router#

前の例では、2つのCisco IOS IPSポリシーがデバイスに設定されています。次の例は、前述した各Cisco IOS IPSポリシーへのACLの追加を示しています。

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip ips name ios-ips-incoming list 177
Router(config)#ip ips name ios-ips-outgoing list 177
Router(config)#end
Router#

検証ステップとして、コマンドshow ip ips interfacesを再度実行して、ACLが各Cisco IOS IPSポリシーに正しく割り当てられていることを確認できます。

Router#show ip ips interfaces
    Interface Configuration
      Interface FastEthernet0/0
        Inbound IPS rule is ios-ips-incoming
    acl list 177
        Outgoing IPS rule is not set
      Interface FastEthernet0/1
        Inbound IPS rule is not set
        Outgoing IPS rule is ios-ips-outgoing
    acl list 177
Router#

注:Cisco IOS IPS機能のSERVICE.DNSエンジンを使用して、個々のシグニチャまたはすべてのシグニチャを無効化または削除することは、推奨される回避策ではありません。前述の回避策は、この脆弱性に対してシスコが推奨する唯一の回避策です。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

メジャー リリース

修正済みリリースの入手可能性

Affected 12.0-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.0 ベースのリリースはありません。

Affected 12.1-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.1 ベースのリリースはありません。

Affected 12.2-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

影響を受ける 12.2 ベースのリリースはありません。

Affected 12.3-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

12.3

脆弱性なし

12.3B

脆弱性なし

12.3BC

脆弱性なし

12.3BW

脆弱性なし

12.3EU

脆弱性なし

12.3JA

脆弱性なし

12.3JEA

脆弱性なし

12.3JEB

脆弱性なし

12.3JEC

脆弱性なし

12.3JK

脆弱性なし

12.3JL

脆弱性なし

12.3JX

脆弱性なし

12.3T

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3TPC

脆弱性なし

12.3VA

脆弱性なし

12.3XA

脆弱性なし

12.3XB

脆弱性なし

12.3XC

脆弱性なし

12.3XD

脆弱性なし

12.3XE

脆弱性なし

12.3XF

脆弱性なし

12.3XG

脆弱性なし

12.3XI

脆弱性なし

12.3XJ

脆弱性なし

12.3XK

脆弱性なし

12.3XL

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3XQ

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3XR

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3XS

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3XU

脆弱性なし

12.3XW

脆弱性なし

12.3XX

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3XY

脆弱性なし

12.3XZ

脆弱性なし

12.3YA

脆弱性あり(最初の修正は12.4)

12.4(15)T7

12.4(18c)

12.3YD

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YF

脆弱性なし

12.3YG

12.3(8)YG7より前のリリースには脆弱性があり、12.3(8)YG7以降のリリースには脆弱性はありません。最初の修正は12.4Tです

12.4(15)T7

12.3YH

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YI

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YJ

脆弱性なし

12.3YK

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YM

12.3(14)YM13(2008年9月30日に入手可能)

12.3(14)YM13(2008年9月30日に入手可能)

12.3YQ

脆弱性なし

12.3YS

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YT

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.3YU

脆弱性なし

12.3YX

脆弱性なし

12.3YZ

脆弱性あり。TACに連絡

  

12.3ZA

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

Affected 12.4-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

12.4

12.4(18b)

12.4(19a)

12.4(21)

12.4(18c)

12.4JA

脆弱性なし

12.4JK

脆弱性なし

12.4JL

脆弱性なし

12.4JMA

脆弱性なし

12.4JMB

脆弱性なし

12.4JMC

脆弱性なし

12.4JX

脆弱性なし

12.4MD

脆弱性なし

12.4MR

12.4(19)MR

12.4(19)MR

12.4SW

脆弱性なし

12.4T

12.4(15)T6

12.4(20)T

12.4(15)T7

12.4XA

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XB

脆弱性なし

12.4XC

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XD

12.4(4)XD11(2008年9月26日に入手可能)

12.4(4)XD11(2008年9月26日に入手可能)

12.4XE

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XF

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XG

脆弱性なし

12.4XJ

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XK

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XL

脆弱性なし

12.4XM

脆弱性なし

12.4XN

脆弱性なし

12.4XP

脆弱性なし

12.4XQ

脆弱性なし

12.4XT

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XV

脆弱性あり。TACに連絡

  

12.4XW

12.4(11)XW9

12.4(11)XW9

12.4XY

12.4(15)XY4

12.4(15)XY4

12.4XZ

12.4(15)XZ2

12.4(15)XZ2

12.4YA

12.4(20)YA1

12.4(20)YA1

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、お客様からシスコに報告されたものです。

URL

改訂履歴

リビジョン 1.1

2009年4月16日

現在は古くなっているため、結合されたソフトウェアテーブルへの参照を削除

リビジョン 1.0

2008年9月24日

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。