High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco アグリゲーション サービス ルータ(ASR)5700 シリーズ デバイス向けの Cisco StarOS オペレーティング システムおよび Virtualized Packet Core(VPC)システム ソフトウェアの出力パケット処理機能にある脆弱性により、認証されていないリモートの攻撃者が、デバイスのインターフェイスによるパケット転送を停止させることができる可能性があります。この状態をクリアするためには、デバイスを手動で再起動する必要が生じる場合があります。
この脆弱性は、ネットワーク インターフェイス カード(NIC)のサポートする最大長を、転送するパケットの長さが超えないように確認する機能が適切に機能しないことに起因します。攻撃者は、該当デバイスのインターフェイスを通じて、巧妙に細工された IP パケットまたは一連の巧妙に細工された IP フラグメントを送信することで、この脆弱性を不正利用する可能性があります。不正利用に成功すると、攻撃者はネットワーク インターフェイスによるパケット転送を停止させることができる場合があります。この脆弱性は、IPv4 トラフィックまたは IPv6 トラフィックのどちらでも引き起こされる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-staros
該当製品
脆弱性のある製品
下記のシスコ製品で StarOS オペレーティング システムが実行され、デバイスに仮想インターフェイス カードがインストールされている場合に,この脆弱性の影響を受けます。
- アグリゲーション サービス ルータ(ASR)5700 シリーズ
- Virtualized Packet Core — Distributed Instance(VPC — Di)システム ソフトウェア
- Virtualized Packet Core — Single Instance(VPC — SI)システム ソフトウェア
ASR 5700 シリーズ デバイス、あるいは VPC — SI または VPC — DI に仮想インターフェイス カードがインストールされているかどうかについては、管理者がデバイスの CLI で show support details | grep 'Cisco VIC’ コマンドを実行することで確認できます。
staros# show support details | grep 'Cisco VIC'
2017-Oct-25+02:07:52.813 card 6-cpu0: <6>[ 10.967629] enic: Cisco VIC Ethernet NIC Driver, ver 2.1.1.39
StarOS ソフトウェア リリースの判別
脆弱性のある Cisco StarOS リリースが Cisco ASR 5700 シリーズ デバイスで実行されているかどうかについては、管理者がデバイスの CLI で show version コマンドを実行することで確認できます。次の例は、Cisco StarOS リリース 19.2.1 を実行する Cisco ASR 5500 シリーズ ルータでのコマンドの出力を示しています。
[local]ASR-2# show version
Friday August 12 13:17:31 AST 2016
Active Software:
Image Version: 19.2.1
Image Build Number: 62564
Image Description: Deployment_Build
Image Date: Thu Dec 31 20:13:39 EST 2015
Boot Image: /flash/asr5500-19.2.1.bin
脆弱性のある Cisco StarOS リリースが VPC — SI または VPC — DI で実行されているかどうかについては、管理者がデバイスの CLI で show version コマンドを実行することで確認できます。次に、Cisco StarOSリリース20.1.v0(VPC—DIリリースN4.6)を実行しているVPC—DIのコマンド出力例を示します。
[local]VPC-DI# show version
Active Software:
Image Version: 20.1.v0
Image Build Number: 64657
Image Description: Deployment_Build
Image Date: Wed Jul 27 18:46:53 EDT 2016
Boot Image: /flash/qvpc-di-20.1.v0.bin
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- ASR 5000 シリーズ
- ASR 5500 シリーズ
- Elastic Services Controller(ESC)
- Ultra Automation Services(UAS)
セキュリティ侵害の痕跡
この脆弱性の不正利用により、複数のライン カードで送信のドロップおよびエラーが発生し、エラー数は継続的に増加していきます。
cisco# show port datalink counters
Counters for port x/y:
Line Card Virtual Ethernet Port
Rx Counter Data | Tx Counter Data
----------------------- ------------ + ----------------------- ------------
RX Unicast frames 146446868039 | TX Unicast frames 250100240151
RX Multicast frames n/a | TX Multicast frames n/a
RX Broadcast frames n/a | TX Broadcast frames n/a
RX Size 64 frames n/a | TX Size 64 frames n/a
RX Size 65 .. 127 fr n/a | TX Size 65 .. 127 fr n/a
RX Size 128 .. 255 fr n/a | TX Size 128 .. 255 fr n/a
RX Size 256 .. 511 fr n/a | TX Size 256 .. 511 fr n/a
RX Size 512 .. 1023 fr n/a | TX Size 512 .. 1023 fr n/a
RX Size 1024 .. 1522 fr n/a | TX Size 1024 .. 1522 fr n/a
RX Size > 1522 frames n/a | TX Size > 1522 frames n/a
RX Bytes OK 164943341920449 | TX Bytes OK 207391659308726
RX Bytes BAD n/a | TX Bytes BAD 416971827
RX SHORT OK n/a | TX PAUSE n/a
RX SHORT CRC n/a | TX ERR 4083841
送信のドロップとエラーが発生している場合、ネットワーク トラフィックの転送が停止される可能性があります。これらの条件が認められた場合は、この脆弱性の不正利用によってデバイスが侵害されていないかどうかを確認するために Cisco Technical Assistance Center(TAC)に連絡してください。
回避策
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)に連絡してアップグレードを入手してください。
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
このセクションの表を参考に、適切な修正済みリリースにアップグレードする必要があります。次の表の最初の列に Cisco StarOS および VPC システム ソフトウェアのメジャー リリースを、2 番目の列にこの脆弱性に対する修正が含まれる最初のリリースを示します。
| Cisco VPC(StarOS メジャー リリース) | First Fixed Release(修正された最初のリリース) |
|---|---|
| N4.0 (19.2) |
該当、N5.1.9(21.1.v7)に移行 |
| N4.2 (19.3) |
該当、N5.1.9(21.1.v7)に移行 |
| N4.5 (20.0) | 該当、N5.1.9(21.1.v7)に移行 |
| N4.6 (20.1) | 該当、N5.1.9(21.1.v7)に移行 |
| N4.7 (20.2) | 該当、N5.1.9(21.1.v7)に移行 |
| N5.0 (21.0) | N5.0.4(21.0.v4) |
| N5.1 (21.1) | N5.1.9(21.1.v7) |
| N5.5(21.3) | N5.5.0(21.3.v10) |
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
本脆弱性は、シスコ TAC のサポート案件の対応時に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2018 年 4 月 18 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。