脆弱性が存在する製品

脆弱性が存在しない製品

Cisco IOS侵入防御システム(IPS)はインラインで効率的に広範なネットワーク攻撃を軽減するディープパケットインスペクション機能を提供します。 Cisco IOS統合脅威コントロールフレームワークのコンポーネントとして、Cisco IOS フレキシブルパケットマッチング機能により補完され、Cisco IOS IPSは悪意のあるトラフィックをリアルタイムに特定・分類し、ブロックするインテリジェンスをネットワークに提供します。 Cisco IOS IPS機能の追加情報はhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/gt_fwids.htmlで見つけることができます。

Cisco IOS IPS機能に先立って、Cisco IOSは同様の機能としてCisco IOS 侵入検知システム(IDS)を提供していました。 Cisco IOS IDS機能は本脆弱性の影響を受けません。 Cisco IOS IDS機能の追加情報はhttp://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/ios_ids.htmlで見つけることができます。

特定のネットワークトラフィックによってSERVICE.DNSエンジンのIPSシグニチャが動作するとCisco IOS機器がクラッシュもしくはハングする可能性があります。 これによりサービス拒絶状態となり、ネットワークトラフィックが止まる可能性があります。 この脆弱性はCisco Bug ID CSCsq13348 (登録ユーザのみ)として文書化されています。

この脆弱性にはCommon Vulnerabilities and Exposures (CVE) ID CVE-2008-2739が割り当てられています。

シスコは Common Vulnerability Scoring System（CVSS）の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価 （Base Score） および現状評価スコア （Temporal Score） を提供いたします。 お客様はこれらを用いて環境評価スコア （Environmental Score） を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは以下の URLにてCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

この脆弱性の不正利用により、Cisco IOS IPS機能が設定されたCisco機器でクラッシュもしくはハングが発生する可能性があります。

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center（TAC） もしくは契約している保守会社にお問い合せください。

Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。 あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

回避策は機器に設定された全てのCisco IOS IPSポリシーにアクセスコントロールリスト(ACL)を追加し、UDP53番ポートとTCP53番ポート宛トラフィックがCisco IOS IPS機能でインスペクションされないようにすることです。 以下のACLが設定に追加される必要があります:

! deny inspection of traffic with a destination port of 53/udp
access-list 177 deny   udp any any eq 53
! deny inspection of traffic with a destination port of 53/tcp
access-list 177 deny   tcp any any eq 53
! allow all other traffic to be inspected
access-list 177 permit ip any any

機器上の全てのCisco IOS IPSポリシーインスタンスが、上記のACLを参照するように修正される必要があります。 どんなCisco IOS IPSポリシーが機器上で設定されているか確認するには、以下の例のようにshow running-config | include ip ips nameコマンドを実行します:

Router#show running-config | include ip ips name
ip ips name ios-ips-incoming
ip ips name ios-ips-outgoing
Router#

上記の例では、機器上で2つのCisco IOS IPSポリシーが設定されています。 以下の例では、それぞれのCisco IOS IPSポリシーにACLが追加されています:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip ips name ios-ips-incoming list 177
Router(config)#ip ips name ios-ips-outgoing list 177
Router(config)#end
Router#

show ip ips interfacesコマンドを再度実行し、ACLが正しくそれぞれのCisco IOS IPSポリシーに関連付けられていることを確認します:

Router#show ip ips interfaces
    Interface Configuration
      Interface FastEthernet0/0
        Inbound IPS rule is ios-ips-incoming
    acl list 177
        Outgoing IPS rule is not set
      Interface FastEthernet0/1
        Inbound IPS rule is not set
        Outgoing IPS rule is ios-ips-outgoing
    acl list 177
Router#

注： Cisco IOS IPS機能のSERVICE.DNSエンジンを使用する個々のシグニチャもしくは全てのシグニチャを無効もしくは削除することは推奨される回避策ではありません。 上記の回避策のみがこの脆弱性に対してCiscoが推奨するものです。

Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。 ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サードパーティのサポート会社をご利用のお客様

サービス契約をご利用でないお客様

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性は顧客によってCiscoに報告されました。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20080924-iosips.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

• cust-security-announce@cisco.com
• first-bulletins@lists.first.org
• bugtraq@securityfocus.com
• vulnwatch@vulnwatch.org
• cisco@spot.colorado.edu
• cisco-nsp@puck.nether.net
• full-disclosure@lists.grok.org.uk
• comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。 この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。