High
High
アドバイザリーID : cisco-sa-20140924-mdns
初公開日 : 2014-09-24 16:00
バージョン 1.0 : Final
CVSSスコア :
7.8
回避策 :
No Workarounds available
Cisco バグ ID : CSCul90866
CSCuj58950
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
マルチキャストドメインネームシステム(mDNS)機能のCisco IOSソフトウェア実装には、mDNSパケットを処理する際に次の脆弱性が存在します。これにより、認証されていないリモートの攻撃者がサービス妨害(DoS)状態を引き起こす可能性があります。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-mdns
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
- Cisco IOSソフトウェアmDNSゲートウェイのメモリリークの脆弱性
- Cisco IOSソフトウェアのmDNSゲートウェイにおけるDoS脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-mdns
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep14.html
該当製品
脆弱性のある製品
該当するCisco IOSソフトウェアまたはCisco IOS XEソフトウェアを実行しているシスコデバイスには脆弱性が存在します。Cisco IOSおよびCisco IOS XEソフトウェアでは、Cisco mDNSゲートウェイ機能はデフォルトで有効になっています。mDNSパケットを処理するために必要な該当デバイスの特定の設定はありません。
Cisco IOSデバイスまたはCisco IOS XEデバイスがmDNSパケットを処理するかどうかを判断するには、デバイスにログインし、コマンドラインインターフェイス(CLI)でshow ip socket、show udp、またはshow control-plane host open-portsのいずれかのコマンドを実行します。出力にポートUDP 5353でリッスンしているIPアドレスが示されている場合、そのデバイスには脆弱性が存在します。
次の例は、これらの脆弱性の影響を受けるCisco IOSデバイスを示しています。ソケットがUDPポート5353で開いているため、デバイスに脆弱性が存在します。
Cisco IOSデバイスまたはCisco IOS XEデバイスがmDNSパケットを処理するかどうかを判断するには、デバイスにログインし、コマンドラインインターフェイス(CLI)でshow ip socket、show udp、またはshow control-plane host open-portsのいずれかのコマンドを実行します。出力にポートUDP 5353でリッスンしているIPアドレスが示されている場合、そのデバイスには脆弱性が存在します。
次の例は、これらの脆弱性の影響を受けるCisco IOSデバイスを示しています。ソケットがUDPポート5353で開いているため、デバイスに脆弱性が存在します。
注:Cisco Bug ID CSCum51028の修正前のCisco IOSソフトウェアおよびCisco IOS XEソフトウェアの動作では、デフォルトでmDNS機能が有効になっています。この動作は、Cisco Bug ID CSCum51028で変更され、現在ではデフォルトで無効になっています。管理者がmDNS機能を有効にする場合は、デバイスで手動で設定する必要があります。Router#show ip socket Proto Remote Port Local Port In Out Stat TTY OutputIF 17 --listen-- 192.168.0.1 67 0 0 1 0 17 --listen-- 192.168.0.1 68 0 0 1 0 17 --listen-- 224.0.0.251 5353 0 0 1 0 Router# Router#sho udp Proto Remote Port Local Port In Out Stat TTY OutputIF 17 224.0.0.251 5353 --any-- 5353 0 0 1000021 0 17(v6) FF02::FB 5353 --any-- 5353 0 0 1020021 0 Router# Router#sho control-plane host open-ports Active internet connections (servers and established) Prot Local Address Foreign Address Service State tcp *:22 *:0 SSH-Server LISTEN tcp *:23 *:0 Telnet LISTEN udp *:5353 224.0.0.251:0 IOS host service LISTEN Router#
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOSソフトウェアのリリース命名規則の追加情報は、『White Paper: Cisco IOS and NX-OS Software Reference Guide』で確認できます。
脆弱性を含んでいないことが確認された製品
Cisco IOS XR ソフトウェアは、これらの脆弱性の影響を受けません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
シスコのService Discovery Gateway(mDNS Gateway)は、サブネット全体でサービスやデバイスへの制御された安全なアクセスを可能にするIOSコンポーネントです。設定されたすべてのネットワークセグメントでサービスアナウンスメントをリッスンし、サービスとアドレスのキャッシュを構築する
Cisco IOSソフトウェアmDNSゲートウェイのメモリリークの脆弱性
Cisco IOSソフトウェアのマルチキャストドメインネームシステム(mDNS)実装における脆弱性により、認証されていないリモートの攻撃者がメモリリーク状態を引き起こし、最終的に該当デバイスのインターフェイスウェッジまたはリロードを引き起こす可能性があります。
この脆弱性は、該当デバイスに送信される不正なmDNSパケットの不適切な解析に起因します。攻撃者は、該当デバイスで処理される不正なmDNSパケットを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はメモリリーク状態を引き起こし、最終的に該当デバイスのインターフェイスウェッジまたはリロードを引き起こす可能性があります。
この脆弱性は、IPv4 パケットまたは IPv6 パケットのどちらでも不正利用される可能性があります。この脆弱性は、デバイスに設定された任意のインターフェイスのIPv4/IPv6ユニキャストアドレス、IPv4マルチキャストアドレス224.0.0.251、またはIPv6マルチキャストアドレスFF02::FBのいずれかを使用して、ポート5353宛ての不正なUDPパケットによってトリガーされる可能性があります。
この脆弱性は、該当デバイス宛てのトラフィックによってのみトリガーされ、該当デバイスを通過するトラフィックによっては不正利用されません。
脆弱性のある設定基準を満たすデバイスでは、不正なUDP mDNSパケットによってこの脆弱性が引き起こされる可能性があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する条件を設定してmDNSパケットを作成する可能性があります。この脆弱性の不正利用に成功すると、メモリリークが発生し、インターフェイスウェッジが発生し、最終的に該当デバイスのリロードが発生する可能性があります。インターフェイスキューのウェッジ状態からの回復にはデバイスのリロードが必要であり、その結果、サービス拒否(DoS)状態が発生する可能性があります。
インターフェイスキューウェッジとは、Cisco IOSルータまたはスイッチによって特定のパケットが受信されてキューに入れられるものの、処理エラーが原因でキューから削除されない脆弱性のクラスです。キューウェッジの詳細と、Cisco IOSソフトウェアでブロックされたインターフェイスを特定するために使用できる検出メカニズムについては、このアドバイザリの「回避策」セクションを参照してください。また、次のリンクにあるCisco Security Blogの「Cisco IOS Queue Wedges Explained」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/
この脆弱性は、Cisco Bug ID CSCuj58950(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3358が割り当てられています。
Cisco IOSソフトウェアのmDNSゲートウェイにおけるDoS脆弱性
Cisco IOSソフトウェアのマルチキャストDNS(mDNS)ゲートウェイ機能の脆弱性により、認証されていないリモートの攻撃者が脆弱性のあるデバイスをリロードする可能性があります。
この脆弱性は、mDNS パケットの不適切な検証に起因します。攻撃者は、不正なIPv4またはIPv6パケットをUDPポート5353に送信することで、この脆弱性を不正利用する可能性があります。不正利用により、攻撃者はサービス拒否(DoS)状態を引き起こす可能性があります。
この脆弱性は、IPv4 パケットまたは IPv6 パケットのどちらでも不正利用される可能性があります。この脆弱性は、デバイスに設定された任意のインターフェイスのIPv4/IPv6ユニキャストアドレス、IPv4マルチキャストアドレス224.0.0.251、またはIPv6マルチキャストアドレスFF02::FBのいずれかを使用して、ポート5353宛ての不正なUDPパケットによってトリガーされる可能性があります。
この脆弱性は、該当デバイス宛てのトラフィックによってのみトリガーされ、該当デバイスを通過するトラフィックによっては不正利用されません。
脆弱性のある設定基準を満たすデバイスでは、不正なUDP mDNSパケットによってこの脆弱性が引き起こされる可能性があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する条件を設定してmDNSパケットを作成する可能性があります。この脆弱性の不正利用に成功すると、該当デバイスのリロードが発生する可能性があります。
この脆弱性は、Cisco Bug ID CSCul90866(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3357が割り当てられています。
Cisco IOSソフトウェアmDNSゲートウェイのメモリリークの脆弱性
Cisco IOSソフトウェアのマルチキャストドメインネームシステム(mDNS)実装における脆弱性により、認証されていないリモートの攻撃者がメモリリーク状態を引き起こし、最終的に該当デバイスのインターフェイスウェッジまたはリロードを引き起こす可能性があります。
この脆弱性は、該当デバイスに送信される不正なmDNSパケットの不適切な解析に起因します。攻撃者は、該当デバイスで処理される不正なmDNSパケットを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はメモリリーク状態を引き起こし、最終的に該当デバイスのインターフェイスウェッジまたはリロードを引き起こす可能性があります。
この脆弱性は、IPv4 パケットまたは IPv6 パケットのどちらでも不正利用される可能性があります。この脆弱性は、デバイスに設定された任意のインターフェイスのIPv4/IPv6ユニキャストアドレス、IPv4マルチキャストアドレス224.0.0.251、またはIPv6マルチキャストアドレスFF02::FBのいずれかを使用して、ポート5353宛ての不正なUDPパケットによってトリガーされる可能性があります。
この脆弱性は、該当デバイス宛てのトラフィックによってのみトリガーされ、該当デバイスを通過するトラフィックによっては不正利用されません。
脆弱性のある設定基準を満たすデバイスでは、不正なUDP mDNSパケットによってこの脆弱性が引き起こされる可能性があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する条件を設定してmDNSパケットを作成する可能性があります。この脆弱性の不正利用に成功すると、メモリリークが発生し、インターフェイスウェッジが発生し、最終的に該当デバイスのリロードが発生する可能性があります。インターフェイスキューのウェッジ状態からの回復にはデバイスのリロードが必要であり、その結果、サービス拒否(DoS)状態が発生する可能性があります。
インターフェイスキューウェッジとは、Cisco IOSルータまたはスイッチによって特定のパケットが受信されてキューに入れられるものの、処理エラーが原因でキューから削除されない脆弱性のクラスです。キューウェッジの詳細と、Cisco IOSソフトウェアでブロックされたインターフェイスを特定するために使用できる検出メカニズムについては、このアドバイザリの「回避策」セクションを参照してください。また、次のリンクにあるCisco Security Blogの「Cisco IOS Queue Wedges Explained」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/
この脆弱性は、Cisco Bug ID CSCuj58950(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3358が割り当てられています。
Cisco IOSソフトウェアのmDNSゲートウェイにおけるDoS脆弱性
Cisco IOSソフトウェアのマルチキャストDNS(mDNS)ゲートウェイ機能の脆弱性により、認証されていないリモートの攻撃者が脆弱性のあるデバイスをリロードする可能性があります。
この脆弱性は、mDNS パケットの不適切な検証に起因します。攻撃者は、不正なIPv4またはIPv6パケットをUDPポート5353に送信することで、この脆弱性を不正利用する可能性があります。不正利用により、攻撃者はサービス拒否(DoS)状態を引き起こす可能性があります。
この脆弱性は、IPv4 パケットまたは IPv6 パケットのどちらでも不正利用される可能性があります。この脆弱性は、デバイスに設定された任意のインターフェイスのIPv4/IPv6ユニキャストアドレス、IPv4マルチキャストアドレス224.0.0.251、またはIPv6マルチキャストアドレスFF02::FBのいずれかを使用して、ポート5353宛ての不正なUDPパケットによってトリガーされる可能性があります。
この脆弱性は、該当デバイス宛てのトラフィックによってのみトリガーされ、該当デバイスを通過するトラフィックによっては不正利用されません。
脆弱性のある設定基準を満たすデバイスでは、不正なUDP mDNSパケットによってこの脆弱性が引き起こされる可能性があります。インフラストラクチャの知識を持つ攻撃者は、この脆弱性を不正利用する条件を設定してmDNSパケットを作成する可能性があります。この脆弱性の不正利用に成功すると、該当デバイスのリロードが発生する可能性があります。
この脆弱性は、Cisco Bug ID CSCul90866(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3357が割り当てられています。
回避策
アクセス コントロール リスト
Cisco Bug ID CSCum51028に対する修正がないCisco IOSおよびCisco IOS XEソフトウェアリリースでは、現在、ポートを手動で閉じたり、サービスを無効にしたりする方法はありません。
これらのリリースで可能な回避策は、UDPポート5353宛てのトラフィックをブロックするために作成してインターフェイスに適用できる拡張アクセスコントロールリスト(ACL)を設定することです。
この脆弱性のmDNS機能はトランスポートとしてUDPを使用するため、送信元のIPアドレスをスプーフィングする可能性があり、信頼できるIPアドレスからこれらのポートへの通信を許可するACLを無効にする可能性があります。ACLに加えて、管理者はuRPFを有効にする必要があります。これは、転送されるパケットの送信元アドレスの到達可能性を検証するCisco IOSソフトウェアのセキュリティ機能です。これら2つのテクノロジーを組み合わせると、ACL単独よりも強力な回避策が提供されます。
次に示すACLの例は、UDPポート5353を宛先とするトラフィックからデバイスを保護するために導入されるインターフェイスアクセスリストの一部として含める必要があります。
コントロールプレーンポリシング(CoPP)を使用して、デバイスへの信頼できないUDPトラフィックをブロックできます。CoPP機能は、Cisco IOSソフトウェアリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでサポートされています。CoPPをデバイスに設定して、管理プレーンとコントロールプレーンを保護し、既存のセキュリティポリシーと設定に従ってインフラストラクチャデバイスに送信される承認されたトラフィックのみを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。
次のCoPPの例は、UDPポート5353宛てのトラフィックからデバイスを保護するために導入されるCoPPの一部として含める必要があります。
CoPP機能の設定と使用についての詳細は、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/htcpp.htmlにある『Control Plane Policing Implementation Best Practices』および『Control Plane Policing』を参照してください
Cisco Bug ID CSCum51028の修正が取り込まれたCisco IOSおよびCisco IOS XEソフトウェアリリースでは、no service-routing mdns-sdコマンドラインインターフェイス(CLI)グローバルコンフィギュレーション(CLI)コマンドを設定することでmDNSゲートウェイ機能を無効にできます。
Cisco IOSソフトウェアのmDNSメモリリークの脆弱性には、次の識別メカニズムがあります。
組み込みイベント マネージャ
脆弱性のある Cisco IOS デバイス上で、Tool Command Language(TCL)に基づく組み込みイベント マネージャ(EEM)ポリシーを利用すると、この脆弱性によって引き起こされたインターフェイス キュー ウェッジを識別して、検出することができます。このポリシーにより、管理者はCisco IOSデバイスのインターフェイスを監視し、インターフェイス入力キューがいっぱいになったことを検出できます。Cisco IOS EEM がこの脆弱性による不正利用の可能性を検出すると、それに反応してポリシーがネットワーク管理者にアラートを送信し、それを受けて管理者は、入力キューをクリアするためにデバイスのアップグレード、適切な移行、またはリロードを行うことを判断できます。
Tclスクリプトは、次のリンクの「Cisco Beyond: Embedded Event Manager (EEM) Scripting Community」からダウンロードできます。https://supportforums.cisco.com/docs/DOC-19337
また、次のリンクにあるCisco Security Blogの「Cisco IOS Queue Wedges Explained」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、このアドバイザリに関連するCisco適用対応策速報を次のリンク先で参照できます。https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=35023
Cisco Bug ID CSCum51028に対する修正がないCisco IOSおよびCisco IOS XEソフトウェアリリースでは、現在、ポートを手動で閉じたり、サービスを無効にしたりする方法はありません。
これらのリリースで可能な回避策は、UDPポート5353宛てのトラフィックをブロックするために作成してインターフェイスに適用できる拡張アクセスコントロールリスト(ACL)を設定することです。
この脆弱性のmDNS機能はトランスポートとしてUDPを使用するため、送信元のIPアドレスをスプーフィングする可能性があり、信頼できるIPアドレスからこれらのポートへの通信を許可するACLを無効にする可能性があります。ACLに加えて、管理者はuRPFを有効にする必要があります。これは、転送されるパケットの送信元アドレスの到達可能性を検証するCisco IOSソフトウェアのセキュリティ機能です。これら2つのテクノロジーを組み合わせると、ACL単独よりも強力な回避策が提供されます。
次に示すACLの例は、UDPポート5353を宛先とするトラフィックからデバイスを保護するために導入されるインターフェイスアクセスリストの一部として含める必要があります。
コントロール プレーン ポリシング!--- !--- Deny IPv4 mDNS traffic to a device !--- access-list 150 deny udp any any eq 5353 !--- Permit/deny all other Layer 3 and Layer 4 IPv4 traffic in !--- accordance with existing security policies and !--- configurations. Permit all other traffic to transit the !--- device. access-list 150 permit ip any any !--- !--- Deny IPv6 mDNS traffic to a device !---
ipv6 access-list v6_list deny udp any any eq 5353 !--- Permit/deny all other Layer 3 and Layer 4 IPv6 traffic in !--- accordance with existing security policies and !--- configurations. Permit all other traffic to transit the !--- device. permit ipv6 any any !--- Apply access-list to all interfaces (only one example !--- shown) interface fastEthernet 2/0 ip access-group 150 in ipv6 traffic-filter v6_list in
コントロールプレーンポリシング(CoPP)を使用して、デバイスへの信頼できないUDPトラフィックをブロックできます。CoPP機能は、Cisco IOSソフトウェアリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでサポートされています。CoPPをデバイスに設定して、管理プレーンとコントロールプレーンを保護し、既存のセキュリティポリシーと設定に従ってインフラストラクチャデバイスに送信される承認されたトラフィックのみを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。
次のCoPPの例は、UDPポート5353宛てのトラフィックからデバイスを保護するために導入されるCoPPの一部として含める必要があります。
上記のCoPPの例では、access control list entries(ACE;アクセスコントロールリストエントリ)の潜在的な悪用パケットに「permit」アクションが一致する場合、これらのパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクション(非表示)に一致するパケットは、ポリシーマップの「drop」機能の影響を受けません。policy-mapの構文は、12.2Sと12.0SのCisco IOSソフトウェアトレインでは異なることに注意してください。!--- !--- Match IPv4 mDNS traffic with permit statement !--- access-list 150 permit udp any any eq 5353 !--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and !--- Layer4 IPv4 traffic in accordance with existing security policies !--- and configurations for traffic that is authorized to be sent !--- to infrastructure devices !--- access-list 150 deny ip any any !--- Create a Class-Map for traffic to be policed by !--- the CoPP feature !--- class-map match-all drop-udp-class match access-group 150 !--- Create a Policy-Map that will be applied to the !--- Control-Plane of the device. policy-map drop-udp-traffic class drop-udp-class drop !--- Apply the Policy-Map to the !--- Control-Plane of the device control-plane service-policy input drop-udp-traffic
注:シスコでは、IPv6トラフィック用のCoPPの導入は推奨していません。policy-map drop-udp-traffic class drop-udp-class police 32000 1500 1500 conform-action drop exceed-action drop
CoPP機能の設定と使用についての詳細は、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/htcpp.htmlにある『Control Plane Policing Implementation Best Practices』および『Control Plane Policing』を参照してください
Cisco Bug ID CSCum51028の修正が取り込まれたCisco IOSおよびCisco IOS XEソフトウェアリリースでは、no service-routing mdns-sdコマンドラインインターフェイス(CLI)グローバルコンフィギュレーション(CLI)コマンドを設定することでmDNSゲートウェイ機能を無効にできます。
Cisco IOSソフトウェアのmDNSメモリリークの脆弱性には、次の識別メカニズムがあります。
組み込みイベント マネージャ
脆弱性のある Cisco IOS デバイス上で、Tool Command Language(TCL)に基づく組み込みイベント マネージャ(EEM)ポリシーを利用すると、この脆弱性によって引き起こされたインターフェイス キュー ウェッジを識別して、検出することができます。このポリシーにより、管理者はCisco IOSデバイスのインターフェイスを監視し、インターフェイス入力キューがいっぱいになったことを検出できます。Cisco IOS EEM がこの脆弱性による不正利用の可能性を検出すると、それに反応してポリシーがネットワーク管理者にアラートを送信し、それを受けて管理者は、入力キューをクリアするためにデバイスのアップグレード、適切な移行、またはリロードを行うことを判断できます。
Tclスクリプトは、次のリンクの「Cisco Beyond: Embedded Event Manager (EEM) Scripting Community」からダウンロードできます。https://supportforums.cisco.com/docs/DOC-19337
また、次のリンクにあるCisco Security Blogの「Cisco IOS Queue Wedges Explained」も参照してください。http://blogs.cisco.com/security/cisco_ios_queue_wedges_explained/
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、このアドバイザリに関連するCisco適用対応策速報を次のリンク先で参照できます。https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=35023
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
Cisco IOS ソフトウェア
シスコは、お客様がCisco IOSソフトウェアの脆弱性の影響を受けるかどうかを判断するためのツールを提供しています。 Cisco IOS Software Checker により、次のタスクを実行できます。
- ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードすることによって、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索を作成して、以前に公開されたすべてのシスコセキュリティアドバイザリ、特定の資料、または2015年9月のバンドル資料のすべてのアドバイザリを含めます
このツールは、クエリされたソフトウェアリリースに影響を与えるシスコセキュリティアドバイザリと、各シスコセキュリティアドバイザリのすべての脆弱性を修正する最初のリリース(First Fixed)を特定します。該当する場合、表示されたすべてのアドバイザリのすべての脆弱性を修正する最初のリリース(Combined First Fixed)も返します。Cisco IOS Software Checkerにアクセスするか、次のフィールドにCisco IOSソフトウェアリリースを入力して、このバンドルアドバイザリアドバイザリの影響を受受受えないかどうかを判断します。
(例:15.1(4)M2)
Cisco IOS XE ソフトウェア
Cisco IOS XE ソフトウェアは、この資料で情報開示された脆弱性の影響を受けます。Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。
| Cisco IOS XE ソフトウェア リリース | First Fixed Release(修正された最初のリリース) | 2014年9月のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開に含まれるすべてのアドバイザリに対する最初の修正リリース |
|---|---|---|
| 2.1.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.2.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.3.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.4.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.5.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.6.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.1.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.1.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.2.xSE |
脆弱性なし |
脆弱性あり、3.3.2SEに移行 |
| 3.2.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xXO | 脆弱性なし | 脆弱性なし |
| 3.2.xSQ | 脆弱性なし | 脆弱性なし |
| 3.3.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.3.xSE | 3.3.2SE | 3.3.2SE |
| 3.3.xSG | 脆弱性なし | 脆弱性あり。3.4.4SG以降に移行してください。 |
| 3.3.xXO | 3.3.1XO | 3.3.1XO |
| 3.3.xSQ | 脆弱性なし | 脆弱性なし |
| 3.4.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.4.xSG | 脆弱性なし | 3.4.4SG |
| 3.4.xSQ | 脆弱性なし | 脆弱性なし |
| 3.5.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.5.xE | 3.5.2E | 3.5.2E |
| 3.6.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.6.xE | 脆弱性なし | 脆弱性なし |
| 3.7.xS | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.7.xE | 脆弱性なし | 脆弱性なし |
| 3.8.xS | 脆弱性なし | 脆弱性あり。3.10.4S以降に移行してください。 |
| 3.9.xS | 脆弱性なし | 脆弱性あり。3.10.4S以降に移行してください。 |
| 3.10.xS | 脆弱性なし | 3.10.4S |
| 3.11.xS | 3.11.1S | 脆弱性あり。3.12S以降に移行してください。 |
| 3.12.xS | 脆弱性なし | 脆弱性なし |
| 3.13.xS | 脆弱性なし | 脆弱性なし |
Cisco IOS XR ソフトウェア
Cisco IOS XRソフトウェアは、2014年9月のCisco IOS Software Security Advisoryバンドル公開に含まれている脆弱性の影響を受けません。推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
これらの脆弱性は内部調査中に発見されたものです。
これらの脆弱性は内部調査中に発見されたものです。
URL
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-mdns
改訂履歴
| リビジョン 1.0 | 2014年9月24日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。