| ライター翻訳版 - April 20, 2004 |
| 英語版 |
| Document ID: 50960 |
Revision 1.0
For Public Release 2004 April 20 21:00 UTC (GMT)
目次
要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス: INTERIM
情報配信
更新履歴
シスコ セキュリティ手順
要約
Transmission Control Protocol の仕様 (RFC793) に脆弱性があることが、 外部のある研究者によって発見されました。不正利用された場合は、かつて広く認知されていたよりもはるかに短時間で任意の確立されたTCP コネクションをリセットできます。アプリケーションによっては、コネクションは自動的に再確立されます。その他の場合は、ユーザは再度操作(Telnet や SSH セッションの新規オープン)を行う必要があります。攻撃を受けるプロトコル によっては、攻撃の成功によるコネクションの切断後の考慮が必要な派生的な 影響があります。この攻撃は装置(例、ルータ、スイッチ、コンピュータ)で 終端するセッションのみが該当し、装置を通過するトラフィック(例、ルータ によって転送されるトランジット(通過)トラフィック)は影響を受けません。 さらに、これによって直接的にデータの完全性や機密性が損なわれることは ありません。
TCP プロトコルスタックを有する全てのシスコ製品は本脆弱性の影響を受けます。
本アドバイザリは Cisco IOS ソフトウェアが稼動するシスコ製品の脆弱性 について記述したもので、以下にて確認可能です。
http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml
対となるアドバイザリは Cisco IOS ソフトウェアが稼動する以外の製品の 脆弱性についた記述したもので、以下にて確認可能です。
http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-nonios.shtml
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との 間で内容の齟齬がある場合には、英語原文が優先いたします。
該当製品
TCP プロトコルスタックを有する全てのシスコ製品は本脆弱性の影響を受け ます。全てのシスコ製品、モデルが影響を受けます。起こりうる障害の深刻 度は、TCP を使用する(上位)プロトコルやアプリケーションに依存します。この攻撃は装置(例、ルータ、スイッチ、コンピュータ)で終端するセッショ ンのみが該当し、装置を通過するトラフィック(例、ルータによって転送さ れるトランジット(通過)トラフィック)は影響を受けません。
詳細
TCP はトランスポート層のプロトコルで、コネクション型で信頼性のある Internet Protocol (IP) パケットの配送を提供するように設計されています。 この実現のために、TCP は状態 (state) とパケットの再構築 (reassemble) するための順序を特定する順序番号 (sequence number) の混在するフラグを 使用します。また、TCP は応答番号 (acknowledgement number) と呼ばれる 期待する次のパケットの順序番号 (sequence number) を提供します。 パケットは"window" と呼ばれる、ある範囲の応答番号 (acknowledgement number) に順序番号 (sequence number) が入る場合にのみ、受信側の TCP スタック によって再構築されます。リセット (RST) フラグが設定される際は、戻り のパケットはないため、応答番号 (acknowledgement number) は使用されま せん。TCP の完全な仕様は以下より入手可能です。
http://www.ietf.org/rfc/rfc0793.txt
RFC793 の仕様によると、確立された TCP コネクションは、reset (RST) もしくは synchronize (SYN) フラグをセットしたパケットを送信すること によってリセットすることが可能です。これを実行するには 4-tuple(送信元、 宛先のIP と ポート)とともに順序番号 (sequence number) が既知あるいは 推測できることが前提となります。しかし、順序番号 (sequence number) は完全に一致する必要がなく、広告された window に収まっていれば十分で す。このことにより、敵対者が必要な労力は低減することとなります。 window が大きいほど、コネクションのリセットが容易となります。
送信元、 宛先 IP アドレスが比較的容易に特定できるのに対して、送信元 TCP ポー トは推測しなくてはなりません。宛先 TCP ポートは通常、標準的なサービ ス(例、Telnet の 23、HTTP の 80)に関しては既知です。Cisco IOS は予 測可能な一時的なポート(番号)を予想可能な増分(後続のコネクションに は次のポート(番号)が使用されます)で既知のサービスに使用します。こ れらの値は特定の IOS バージョンやプロトコルでは一定であってもリリースによって異なります。
以下は通常の TCP セッションの終了の例です:
Host(1) Host(2)
| |
| |
| ACK ack=1001, window=5000 |
|<----------------------------|
| |
Host(1) がセッションを終了
| RST seq=1001 |
|---------------------------->|
| |
Host(2) がセッションを終了
さらに、以下のシナリオもありあえます:
Host(1) Host(2)
| |
| |
| ACK ack=1001, window=5000 |
|<----------------------------|
| |
Host(1) がセッションを終了
| RST seq=4321 |
|---------------------------->|
| |
Host(2) がセッションを終了
2つめの例で、順序番号 (sequence number) が次の期待するもの(すなわち 1001) でないにもかかわらず、どのように RST パケットがセッションを終了できたか 注目してください。広告された範囲の window に順序番号 (sequence number) が収まっていれば十分なのです。この例では、Host(2) が順序番号 (sequence number) 1001 から 6001 を受信対象としています。そして4321 はその範囲内にあります。
一般的には、TCP コネクションが1分以上確立されたままのプロトコルは影響が あると考えるべきです。セッションは再確立されるため、不正利用は多くの場合、 単に迷惑な行為にすぎません。
* Cisco IOS
Cisco IOS が稼動するすべての装置に脆弱性があります。 セッションのエンド・ポイントのみがこの脆弱性によって影響を受けるため、 装置そのもので終端するTCP セッションのみが影響を受けます。 装置を通過するセッションは、起点または終点の装置に脆弱性がある場合のみ 影響を受けますが、通過するルータそのものの上では攻撃不可能です。 本脆弱性によって、データの完全性や機密性は影響を受けません。影響を受ける のは可用性のみです。
本脆弱性は Cisco Bug Toolkit(登録のあるお客様のみ)で BugID CSCed27965 と CSCed38527 でドキュメントとして提供しております。
* Cisco IOS FireWall (IOS FW)
IOS FW はルータを通過するパケットを監視し、セッションの状態を内部的に 保持します。したがって、必要なポートを open し、トラフィックを通過させ セッション終了後にそれらを close することが可能です。IOS FW は 装置を通過するパケットすべてを傍受 (intercept) し調べるため、IOS FW を通過する TCP セッションはすべて攻撃の影響を受けることになります。 起点もしくは終点の装置に脆弱性がなくともこの事実はあてはまります。
本脆弱性は Cisco Bug Toolkit(登録のあるお客様のみ)で BugID CSCed93836 でドキュメントとして提供しております。
* Network Address Translation (NAT)
本脆弱性は NAT に関して一切影響はありません。NAT 機能は単純に ポート (番号)や IP アドレスを書き換えます。この機能は TCP フラグの解釈は 行わず、したがってこの攻撃に対して脆弱性はありません。しかし、攻撃 パケットはルータを通過し、受信する装置は影響されることがあります。
影響
影響は個別のプロトコルごとに異なります。ほとんどの場合において TCP コネクション は自動的に再確立される一方で、いくつかの特定のプロトコルではコネクション の切断による派生的な影響のほうがより大きい場合があります。Border Gateway Protocol (BGP)
Cisco PSIRT では、BGP への影響が潜在的に最も影響が大きいとみています。 External (eBGP)、Internal (iBGP) セッションのいずれも同等に影響を受けます。 もし敵対者が2つのルータ間の BGP セッションを切断した場合、2つのルータ間で 互いに広告 (advertise) されたすべての経路は消去 (withdraw) されます。この 動作は、ルータが攻撃され、次のアップデート (update) もしくは キープアライブ (keepalive) パケットが対向のルータ送信された直後に発生します。 BGP ピアリングセッションそのものは1分以内に再確立されます。ルーティングの 設定によって、経路の消去 (withdraw) によって以下のような派生的影響がありえ ます。
* 影響を受けるセッションの両側で適切なスタティック・ルートが設定されている 場合は悪影響はありません。
* トラフィックは他の経路に迂回します。これによりいくつかの経路が輻輳します。
* ネットワークの一部分が完全に分断され、到達不可能になります。
BGP ピアリングセッションが短時間に数回切断された場合、BGP 経路の抑制 (route dampening) が引き起こされることがあります。抑制 (dampening) とは影響を受けた経路が ルーティングテーブルから一定時間消去されることを意味します。その時間はデフォルト で 45 分です。その間、攻撃を受けた BGP セッション上で広告 (advertise) された 経路のすべてのトラフィックは、迂回するか、その部分のネットワークが到達不能に なります。経路の抑制 (route dampening) はデフォルトの設定では有効になって いません。
IOS FireWall Feature Set
TCP エンドポイントに脆弱性がない場合でも、TCP ベースのコネクションを 攻撃で終了させることが可能です。
ソフトウェアバージョンおよび修正
下記の表中の各列は、対象となるリリーストレインとプラットフォーム、あるいは製品を 表しています。もし、あるリリーストレインが脆弱である場合、最も早く利用可能な修正 済みリリースと利用可能予定日付が、それぞれ "Rebuild", "Interim", "Maintenance" 欄 に記載されています。それぞれのトレインにおいて、特定の欄のリリースよりも以前の リリース(最も早い修正リリースよりも前)を使用している装置は、脆弱であると みなすことができます。その場合は表示されているリリースか、それ以降のバージョン (最も早い修正リリースか後)へのアップグレードが必要です。リリースを選択する際には、次の IOS リリース定義にご留意ください。
* Maintenance
もっとも厳密に試験されており、下記表の列のいずれのラベルのリリースにおいて高 く推奨されます。
* Rebuild
同じトレイン内で、一つ前の Maintenance またはメジャーリリースから構築された もので、ある特定の問題の修正を含むものです。試験項目は少なくなっていますが、 修正に必要なごく少ない変更のみを含んだものです。
* Interim
Maintenance リリース間に定期的に構築され、試験項目は少なくなっています。 Interim は脆弱性に対処した適切なリリースが存在しない場合に選択されるべきで、 Interim イメージを使用した場合には、次の Maintenance リリース後に迅速にアッ プグレードされなければなりません。Interim リリースは通常経路からの入手は不可 能で、事前に Cisco Technical Assistance Center (TAC) に手配を行わない限り、 お客様が CCO からダウンロードすることはできません。
IOS FireWall の修正 IOS イメージ
|
Major Release |
Availability of Repaired Releases* |
||
|---|---|---|---|
|
Affected 12.1-Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.1 |
12.1(22c) | ||
|
12.1E |
12.1(19)E7 | ||
|
Affected 12.2-Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.2 |
12.2(21b) | ||
|
12.2(23a) | |||
|
12.2T |
12.2(11)T11 | ||
|
12.2(13)T12 | |||
|
12.2(15)T12 | |||
|
Affected 12.3-Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.3 |
12.3(5c) | ||
|
12.3(6a) | |||
|
12.3T |
12.3(4)T4 | ||
修正 IOS イメージと移行パス
|
Major Release |
Availability of Repaired Releases* |
||
|---|---|---|---|
|
Affected 11.1 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
11.1 |
11.1 Vulnerable. Migrate to 11.2 |
||
|
11.1AA |
11.1AA Vulnerable. Migrate to 11.2P |
||
|
11.1CC |
11.1CC Vulnerable. Migrate to 12.0 |
||
|
Affected 11.2 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
11.2 |
11.2(26f) Available on 2004-Apr-21 |
||
|
11.2P |
11.2(26)P6 Available on 2004-Apr-21 |
||
|
11.2SA |
11.2(8)SA6 Vulnerable. Migrate to 12.0 |
||
|
Affected 11.3 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
11.3 |
11.3 Vulnerable. Migrate to 12.0 |
||
|
11.3(11b)T4 Available on 2004-Apr-21 |
|||
|
11.3(11e) Available on 2004-Apr-21 |
|||
|
Affected 12.0 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.0 |
12.0(28) |
||
|
12.0DA |
12.0DA Vulnerable. Migrate to 12.2DA |
||
|
12.0DB |
12.0DB Vulnerable. Migrate to 12.1DB |
||
|
12.0DC |
12.0DC Vulnerable. Migrate to 12.1DC |
||
|
12.0S |
12.0(27)S |
||
|
12.0(26)S2 |
|||
|
12.0(16)S11 |
|||
|
12.0(24)S5 |
|||
|
12.0(25)S3 |
|||
|
12.0(23)S6 |
|||
|
12.0SL |
12.0SL Vulnerable. Migrate to 12.0(23)S3 |
||
|
12.0ST |
12.0ST Vulnerable. Migrate to 12.0(26)S2 |
||
|
12.0SX |
12.0(25)SX4 Not built - contact TAC |
||
|
12.0SZ |
12.0SZ Vulnerable. Migrate to 12.0(26)S2 |
||
|
12.0T |
12.0T Vulnerable. Migrate to 12.1 |
||
|
12.0W5 |
12.0(28)W5(30) |
||
|
12.0WC |
12.0(5)WC9a Available on 2004-Apr-21 |
||
|
12.0WT |
12.0(13)WT Vulnerable. End of Engineering |
||
|
12.0WX |
12.0(4)WX Vulnerable. Migrate to 12.0W5 |
||
|
12.0XA |
12.0(1)XA Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XB |
12.0(1)XB Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.0XC |
12.0(2)XC Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XD |
12.0(2)XD Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XE |
12.0(7)XE Vulnerable. Migrate to 12.1E Latest |
||
|
12.0XG |
12.0(3)XG Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XH |
12.0(4)XH Vulnerable. Migrate to 12.1 |
||
|
12.0XI |
12.0(4)XI Vulnerable. Migrate to 12.1 |
||
|
12.0XJ |
12.0(4)XJ Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XK |
12.0(7)XK Vulnerable. Migrate to 12.1T Latest |
||
|
12.0XL |
12.0(4)XL Vulnerable. Migrate to 12.2 Latest |
||
|
12.0XM |
12.0(4)XM Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.0XN |
12.0(5)XN Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XP |
12.0(5.1)XP Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XQ |
12.0(5)XQ Vulnerable. Migrate to 12.1 Latest |
||
|
12.0XR |
12.0(7)XR Vulnerable. Migrate to 12.2 Latest |
||
|
12.0XS |
12.0(5)XS Vulnerable. Migrate to 12.1E Latest |
||
|
12.0XU |
12.0(5)XU Vulnerable. Migrate to 12.0(5)WC |
||
|
12.0XV |
12.0(7)XV Vulnerable. Migrate to 12.2(15)T12 |
||
|
Affected 12.1 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.1 |
12.1(20a) |
||
|
12.1(4c) |
|||
|
12.1(22a) |
|||
|
12.1AA |
12.1(10)AA Vulnerable. Migrate to 12.2 Latest |
||
|
12.1AX |
12.1(14)AX |
||
|
12.1AY |
12.1(13)AY Vulnerable. Migrate to 12.1(14)EA1 |
||
|
12.1DA |
12.2DA Vulnerable. Migrate to 12.2DA |
||
|
12.1DB |
12.1(5)DB Vulnerable. Migrate to 12.2B |
||
|
12.1E |
12.1(19)E7 |
||
|
12.1(22)E1 |
|||
|
12.1(11b)E14 |
|||
|
12.1(20)E2 Not built - contact TAC |
|||
|
12.1(19)E6 |
|||
|
12.1(13)E13 |
|||
|
12.1(8b)E18 |
|||
|
12.1(14)E10 |
|||
|
12.1(13)E14 |
|||
|
12.1EA |
12.1(20)EA1 |
||
|
12.1EB |
12.1(20)EB |
||
|
12.1EC |
12.1(20)EC |
||
|
12.1EO |
12.1(20)EO |
||
|
12.1(19)EO2 Available on 2004-Apr-25 |
|||
|
12.1EU |
12.1(20)EU |
||
|
12.1EV |
12.1(12c)EV Vulnerable. Migrate to 12.2(RLS4)S |
||
|
12.1EW |
12.1(20)EW2 Available on 2004-Apr-21 |
||
|
12.1EX |
12.1EX Vulnerable. Migrate to 12.1(14)E |
||
|
12.1EY |
12.1(10)EY Vulnerable. Migrate to 12.1(14)E |
||
|
12.1T |
12.1(5)T17 |
||
|
12.1XA |
12.1(1)XA Vulnerable. Migrate to 12.1(5)T18 |
||
|
12.1XB |
12.1(1)XB Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XC |
12.1(1)XC Vulnerable. Migrate to 12.2 |
||
|
12.1XD |
12.1(1)XD Vulnerable. Migrate to 12.2 |
||
|
12.1XE |
12.1(1)XE Vulnerable. Migrate to 12.1E Latest |
||
|
12.1XF |
12.1(2)XF Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XG |
12.1(3)XG Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XH |
12.1(2a)XH Vulnerable. Migrate to 12.2 |
||
|
12.1XI |
12.1(3a)XI Vulnerable. Migrate to 12.2 Latest |
||
|
12.1XJ |
12.1(3)XJ Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XL |
12.1(3)XL Vulnerable. Migrate to 12.2T Latest |
||
|
12.1XM |
12.1(5)XM Vulnerable. Migrate to 12.2T Latest |
||
|
12.1XP |
12.1(3)XP Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XQ |
12.1(3)XQ Vulnerable. Migrate to 12.2T Latest |
||
|
12.1XR |
12.1(5)XR Vulnerable. Migrate to 12.2T Latest |
||
|
12.1XT |
12.1(3)XT Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1XU |
12.1(5)XU Vulnerable. Migrate to 12.2T Latest |
||
|
12.1XV |
12.1(5)XV Vulnerable. Migrate to 12.2XB |
||
|
12.1YA |
12.1(5)YA Vulnerable. Migrate to 12.2(8)T |
||
|
12.1YB |
12.1(5)YB Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1YC |
12.1(5)YC Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.1YD |
12.1(5)YD Vulnerable. Migrate to 12.2(8)T |
||
|
12.1YE |
12.1(5)YE5 Vulnerable. Migrate to 12.2(2)YC |
||
|
12.1YF |
12.1(5)YF2 Vulnerable. Migrate to 12.2(2)YC |
||
|
12.1YH |
12.1(5)YH2 Vulnerable. Migrate to 12.2(13)T |
||
|
12.1YI |
12.1(5)YI2 Vulnerable. Migrate to 12.2(2)YC |
||
|
12.1YJ |
12.1(11)YJ Vulnerable. Migrate to 12.1EA Latest |
||
|
Affected 12.2 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.2 |
12.2(19b) |
||
|
12.2(16f) |
|||
|
12.2(21a) |
|||
|
12.2(23) |
|||
|
12.2(12i) |
|||
|
12.2(10g) |
|||
|
12.2(13e) |
|||
|
12.2(17d) |
|||
|
12.2(21b) |
|||
|
12.2(23a) |
|||
|
12.2B |
12.2(2)B - 12.2(4)B7 Vulnerable. Migrate to 12.2(13)T12 |
||
|
12.2(4)B8 AND FWD Vulnerable. Migrate to 12.3(5a)B1 |
|||
|
12.2BC |
12.2(15)BC1C |
||
|
12.2BW |
12.2(4)BW Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2BX |
12.2(16)BX2 |
||
|
12.2BY |
12.2(4)BY Vulnerable. Migrate to 12.2(15)B |
||
|
12.2(8)BY Vulnerable. Migrate to 12.2(8)ZB |
|||
|
12.2(2)BY Vulnerable. Migrate to 12.2(8)BZ |
|||
|
12.2BZ |
12.2(15)BZ Vulnerable. Migrate to 12.2(16)BX |
||
|
12.2CX |
12.2(11)CX Vulnerable. Migrate to 12.2(15)BC |
||
|
12.2CY |
12.2(11)CY Vulnerable. Migrate to 12.2(13)BC1C |
||
|
12.2DD |
12.2DD Vulnerable. Migrate to 12.2(4)B1 |
||
|
12.2DX |
12.2(1)DX Vulnerable. Migrate to 12.2DD |
||
|
12.2(2)DX Vulnerable. Migrate to 12.2B Latest |
|||
|
12.2EW |
12.2(18)EW |
||
|
12.2JA |
12.2(13)JA4 |
||
|
12.2(13)JA2 |
|||
|
12.2(11)JA3 |
|||
|
12.2MC |
12.2(15)MC1B |
||
|
12.2S |
12.2(22)S |
||
|
12.2(14)S7 |
|||
|
12.2(20)S1 |
|||
|
12.2(20)S3 Available on 2004-Apr-21 |
|||
|
12.2(18)S3 |
|||
|
12.2SE |
12.2(18)SE |
||
|
12.2SW |
12.2(21)SW |
||
|
12.2SX |
12.2(17a)SX2 |
||
|
12.2SXA |
12.2(17b)SXA1 |
||
|
12.2SXB |
12.2(17d)SXB1 Not built - contact TAC |
||
|
12.2SY |
12.2(14)SY3 |
||
|
12.2SZ |
12.2(14)SZ6 |
||
|
12.2T |
12.2(15)T11 |
||
|
12.2(13)T12 |
|||
|
12.2(11)T11 Not built - contact TAC |
|||
|
12.2(13)T11 |
|||
|
12.2XA |
12.2(2)XA Vulnerable. Migrate to 12.2(11)T |
||
|
12.2XB |
12.2(2)XB Vulnerable. Migrate to 12.2(15)T |
||
|
12.2XC |
12.2(2)XC Vulnerable. Migrate to 12.2(8)ZB |
||
|
12.2XD |
12.2(1)XD Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XE |
12.2(1)XE Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XF |
12.2(1)XF1 Vulnerable. Migrate to 12.2(4)BC1C |
||
|
12.2XG |
12.2(2)XG Vulnerable. Migrate to 12.2(8)T |
||
|
12.2XH |
12.2(2)XH Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XI |
12.2(2)XI2 Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XJ |
12.2(2)XJ Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XK |
12.2(2)XK Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XL |
12.2(4)XL Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XM |
12.2(4)XM Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XN |
12.2(2)XN Vulnerable. Migrate to 12.2(11)T |
||
|
12.2XQ |
12.2(2)XQ Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XS |
12.2(1)XS Vulnerable. Migrate to 12.2(11)T |
||
|
12.2XT |
12.2(2)XT Vulnerable. Migrate to 12.2(11)T |
||
|
12.2XU |
12.2(2)XU Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2XW |
12.2(4)XW Vulnerable. Migrate to 12.2(13)T12 |
||
|
12.2YA |
12.2(4)YA Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2YB |
12.2(4)YB Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2YC |
12.2(2)YC Vulnerable. Migrate to 12.2(11)T11 |
||
|
12.2YD |
12.2(8)YD Vulnerable. Migrate to 12.2(8)YY |
||
|
12.2YE |
12.2(9)YE Vulnerable. Migrate to 12.2S |
||
|
12.2YF |
12.2(4)YF Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2YG |
12.2(4)YG Vulnerable. Migrate to 12.2(13)T12 |
||
|
12.2YH |
12.2(4)YH Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2YJ |
12.2(8)YJ Vulnerable. Migrate to 12.2(15)T12 |
||
|
12.2YK |
12.2(2)YK Vulnerable. Migrate to 12.2(13)ZC |
||
|
12.2YL |
12.2(8)YL Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YM |
12.2(8)YM Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YN |
12.2(8)YN Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YO |
12.2(9)YO Vulnerable. Migrate to 12.2(14)SY |
||
|
12.2YP |
12.2(11)YP Vulnerable. Migrate to 12.2T Latest |
||
|
12.2YQ |
12.2(11)YQ Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YR |
12.2(11)YR Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YS |
12.2(11)YS Vulnerable. Migrate to 12.3T |
||
|
12.2YT |
12.2(11)YT Vulnerable. Migrate to 12.2(15)T |
||
|
12.2YU |
12.2(11)YU Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YV |
12.2(11)YV Vulnerable. Migrate to 12.3(4)T |
||
|
12.2YW |
12.2(8)YW Vulnerable. Migrate to 12.3(2)T |
||
|
12.2YX |
12.2(11)YX Vulnerable. Migrate to 12.2(RLS3)S |
||
|
12.2YY |
12.2(8)YY Vulnerable. Migrate to 12.3(1)T |
||
|
12.2YZ |
12.2(11)YZ Vulnerable. Migrate to 12.2(14)SZ |
||
|
12.2ZA |
12.2(14)ZA6 |
||
|
12.2ZB |
12.2(8)ZB Vulnerable. Migrate to 12.3T |
||
|
12.2ZC |
12.2(13)ZC Vulnerable. Migrate to 12.3T |
||
|
12.2ZD |
12.2(13)ZD1 |
||
|
12.2ZE |
12.2(13)ZE Vulnerable. Migrate to 12.3 |
||
|
12.2ZF |
12.2(13)ZF Vulnerable. Migrate to 12.3(4)T |
||
|
12.2ZG |
12.2(13)ZG Vulnerable. Migrate to 12.3(4)T |
||
|
12.2ZH |
12.2(13)ZH Vulnerable. Migrate to 12.3(4)T |
||
|
12.2ZI |
12.2(11)ZI Vulnerable. Migrate to 12.2(18)S |
||
|
12.2ZJ |
12.2(15)ZJ5 |
||
|
12.2(15)ZJ4 |
|||
|
12.2ZK |
12.2(15)ZK Vulnerable. Migrate to 12.3T |
||
|
12.2ZL |
12.2(15)ZL Vulnerable. Migrate to 12.3(7)T |
||
|
12.2ZN |
12.2(15)ZN Vulnerable. Migrate to 12.3(2)T |
||
|
12.2ZP |
12.2(13)ZP3 |
||
|
Affected 12.3 -Based Release |
Rebuild |
Interim** |
Maintenance |
|
12.3 |
12.3(3e) |
||
|
12.3(6) |
|||
|
12.3(5b) |
|||
|
12.3B |
12.3(5a)B |
||
|
12.3(3)B1 |
|||
|
12.3BW |
12.3(1a)BW Vulnerable. Migrate to 12.3B |
||
|
12.3T |
12.3(2)T4 |
||
|
12.3(7)T1 Not built - contact TAC |
|||
|
12.3(4)T3 |
|||
|
12.3XA |
12.3(2)XA Vulnerable. Contact TAC. |
||
|
12.3XB |
12.3(2)XB2 |
||
|
12.3XC |
12.3(2)XC2 |
||
|
12.3XD |
12.3(4)XD1 |
||
|
12.3XE |
12.3(2)XE Vulnerable. Migrate to 12.3T |
||
|
12.3XF |
12.3(2)XF Vulnerable. Contact TAC if needed. |
||
|
12.3XG |
12.3(4)XG |
||
|
12.3XH |
12.3(4)XH |
||
|
12.3XI |
12.3(7)XI Vulnerable. Migrate to 12.3T |
||
|
12.3XJ |
12.3(7)XJ Vulnerable. Contact TAC if needed |
||
|
12.3XK |
12.3(4)XK |
||
|
12.3XL |
12.3(7)XL Vulnerable. Contact Tac if needed |
||
|
12.3XM |
12.3(9)XM Vulnerable. Contact TAC if needed. |
||
|
12.3XN |
12.3(4)XN Vulnerable. Contact TAC if needed. |
||
|
12.3XQ |
12.3(4)XQ Vulnerable. Contact TAC if needed. |
||
|
* * 日付は予定であり、変更される可能性があります。 ** Interim リリースは Maintenance リリースほど厳格なテストを行っておらず、深刻な不具合 がある場合があります。 |
|||
修正ソフトウェアの入手
契約を有するお客様
通常の経路でアップグレードのためのソフトウェアを入手してください。ほとんどの お客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手 することができます。http://www.cisco.com/tacpage/sw-center/
サードパーティによるサポートを受けているお客様
シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ製品を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソフトウェアアップグレードを入手してください。
シスコサービス契約を結んでいないお客様
シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサード
パーティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入手できな
いお客様は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に
連絡し、修正済ソフトウェアを入手して下さい。TAC への連絡先は以下の通りです。
+1 800 553 2447 (北米内からフリーダイヤル)
+1 408 526 7209 (北米以外からの有料通話)
e-mail: tac@cisco.com
様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスな
ど、その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml
無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL
を提示してください。契約がないお客様の無償アップグレードは TAC を通して要求し
てください。
ソフトウェアのアップグレードに関し、 "psirt@cisco.com" もしくは "security-
alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
回避策
RST フラグ(リセットパケット)を利用した本脆弱性の不正利用は、OSVDB.org の Paul (Tony) Watson によって発見されました。それを SYN フラグの利用に拡張 した攻撃方法については、解決に協力するベンダーによって発見されました。 回避策の効果は、お客様の状況、使用製品、 ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が 多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用 する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談 ください。IOS FireWall では影響を緩和する利用可能な回避策はありません。
BGP に関しましては回避策と、数種類の緩和策を提供いたします。 BGP セキュリティ・リスクアセスメント、緩和策、展開のベスト・プラクティスに 関しますさらなる情報は以下より入手可能です。
ftp://ftp-eng.cisco.com/cons/isp/security/BGP-Risk-Assesment-v.pdf
* BGP MD5 secret、BGP に対する回避策はセッションごとにピア間に MD5 secret を 設定することになります。設定例としましては以下のようになります。
router(config)#router bgp <AS-_number>
router(config-router)#neighbor <IP_address> password <enter_your_secret_here>
両方のピアで同時に同一の MD5 secret 設定する必要があります。さもなくば 確立されている BGP セッションが切断され、両方の装置で同一の secret が 設定されるまで、新しい BGP セッションが確立されません。BGP の設定方法に 関する詳細な議論は、以下のドキュメントをご参照ください。
http://cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a00800ca571.html
一旦 secret が設定された後は、定期的に変更するのが無難といえます。変更 間隔はセキュリティーポリシーに依存しますが、2〜3ヶ月以内であるべきと いえます。secret を変更する場合には、やはり両側の装置で同時に実行する必要 があります。例外は使用する IOS リリースに CSCdx23494 が組み込まれている場合 になります。この修正によって、片方のみで MD5 secret が変更されても、BGP セッションは切断されません。しかし、その場合でも BGP update は、両側の装置で 同一の secret が設定されるか、secret が両側の装置から削除されるまで、処理 されません。
以下の攻撃を成功させるために必要なスプーフィング(捏造)の可能性を 低める対策の1つないし複数を適用することにより、この脆弱性による BGP への 影響を緩和することが可能です。
* 基幹設備へのアクセスの遮断 通過するトラフィックを遮断するのはしばしば困難ですが、基幹設備宛ての 許可されていないトラフィックを特定し、そのトラフィックをネットワークの 境界で遮断することは可能です。Infrastructure ACLs (iACL) はネットワーク セキュリティのベスト・プラクティスと考えられ、本脆弱性の回避策としてのみ ならず、ネットワークセキュリティ向上に長期的にも貢献すると考えるべきです。
"Protecting Your Core: Infrastructure Protection Access Control Lists"
のホワイトペーパーにはアクセスリストによって基幹装置を守るためのガイドラインと、 推奨される実施方法が記載されています。
http://www.cisco.com/warp/customer/707/iacl.html
例外は基幹設備にアクセスする正当な理由がある装置(例 BGP ピア、NTP ソース、 DNS サーバー など)です。
* スプーフィング対策のネットワーク境界への設定 敵対者が本アドバイザリに記述されている攻撃を実行するためには、BGP ピア のうちのいずれかと同一の送信元 IP アドレスでパケットを送らなくてはなり ません。スプーフ(捏造)パケットは Unicast Reverse Path Forwarding (uRPF) 機能か Access Control Lists (ACL) を用いて阻止することができます。uRPF を 有効にすれば、すべてのスプーフ(捏造)パケットは、機能が有効になっている 最初の装置で破棄されます。uRPF を有効にするには以下のコマンドを使用します。
router(config)#ip cef
router(config)#ip verify unicast reverse-path
uRPF がどのように動作し、様々な状況に応じてどのように設定するかにつきま しては、以下をご参照ください。
http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7d4.html
ftp://ftp-eng.cisco.com/cons/isp/security/URPF-ISP.pdf
これは、特に非対称ルーティング (asymetric routing) を使用している場合は 特に重要です。
ACL は境界のなるべく近くで設定されるべきです。uRPF と異なり許可する IP の 明確な範囲を指定する必要があります。遮断されるべき IP アドレスを特定する のは、維持するのが困難になりがちで最適な解決策ではありません。
注意:スプーフィング対策が効果があるようにするには、保護する装置の最低 1ホップ先の装置に設定される必要があります。理想的にはネットワーク境界 において設定します。
* パケットレート制限 IOS はデフォルトで RST パケットレートを制限しています。この機能は IOS リリース 10.2 で導入されました。RST パケットのストーム(氾濫)の際にも実際には 毎秒 1 パケットに制限されます。攻撃者が成功するには、最初の数パケットで コネクションを切断しなくてはなりません。さもなくば、攻撃は現実的でない ほどの時間を要することになります。他方、SYN パケットにはレート制限があり ません。レート制限は CAR (Committed Access Rate) もしくは CPP (Control Plane Policing) によって実現できます。CPP が推奨対策になりますが、12.2(18)S もしくは 12.3(4)T 以降からのみ利用可能になっています。また、現在のところ 1751、2600/2600-XM、3700、7200 そして 7500 の各シリーズでのみ利用可能です。 CAR は以下のように設定できます。
router(config)#access-list 103 deny tcp any host 10.1.1.1 established
router(config)#access-list 103 permit tcp any host 10.0.0.1
router(config)interface <interface><interface #>
router(config)rate-limit input access-group 103 8000 8000 8000
conform-action transmit exceed-action drop
CPP の設定の詳細につきましては、以下のドキュメントをご参考にしてください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_white_paper09186a0080211f39.shtml
不正利用事例と公表
Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認 していません。RST フラグ(リセットパケット)を利用した本脆弱性の不正利用は、OSVDB.org の Paul (Tony) Watson によって発見されました。それを SYN フラグの利用に拡張 した攻撃方法については、解決に協力するベンダーによって発見されました。
この通知のステータス: INTERIM
この内容は INTERIM 通知です。シスコ PSIRT では本通知の内容すべてに関して完全性を 保証いたしかねますが、すべて公表事実は最善を尽くして確認されているものになります 。シスコ PSIRTでは通知における事実に変更がない限り新たなバージョンをリリースする 予定はなく、重要な変更がある場合にのみ本通知を更新します。後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者 向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿 されています。
* cust-security-announce@cisco.com
* first-teams@first.org (includes CERT/CC)
* bugtraq@securityfocus.com
* vulnwatch@wulnwatch.org
* cisco@spot.colorado.edu
* cisco-nsp@puck.nether.net
* full-disclosure@lists.netsys.com
* comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲 載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。
更新履歴
| Revision 1.0 | 2004-Apr-20 | 初版 |
シスコ セキュリティ手順
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およ
びシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス
コワールドワイドウェブサイトの
http://www.cisco.com/warp/public/707/sec_incident_response.shtml にアクセスしてく
ださい。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の
指示が掲載されています。全てのシスコセキュリティアドバイザリは
http://www.cisco.com/go/psirt で確認することができます。