富士通取扱シスコ製品におけるIOS ソフトウェア/IOS XEソフトウェアに関する脆弱性への対応について

掲載日：2010年6月9日

シスコシステムズ社より、Cisco社製ルータ（Ciscoシリーズ/ASR1000シリーズ）の基本ソフトウェアである、IOSソフトウェア/IOS XEソフトウェアに関して、以下の7件の脆弱性の存在が報告されています。つきましては、脆弱性の概要と弊社の対応方針をご連絡いたします。

1. LDP(Label Distribution Protocol)使用時における脆弱性
2. TCP（Transmission Control Protocol）セッション確立時における脆弱性
3. 不正なIKE（Internet Key Exchange）パケット受信時における脆弱性
4. SIP(Session Initiation Protocol)使用時における脆弱性
5. H.323使用時における脆弱性
6. NAT（Network Address Translation） SCCPサポート機能使用時における脆弱性
7. SCCP（Skinny Call Control Protocol）メッセージ処理時における脆弱性

1.概要

1-1.LDP使用時における脆弱性について

1-1-1.事象について

該当版数のIOS ソフトウェア/IOS XE ソフトウェアを搭載したCisco製品において、LDPもしくはTDP（Tag Distribution Protocol）を使用してラベルスイッチング方式を用いたパケット転送、すなわちMPLS技術を用いたパケット転送を行った場合、不正なLDPパケットによるDoS(注)攻撃を受け、対象機器の再起動が発生する可能性があります。

(注) DoS(Denial of Service)攻撃：相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて 相手のネットワークを麻痺させる攻撃。

1-1-2.該当製品

対象のIOS ソフトウェア/IOS XEソフトウェアを搭載したCiscoシリーズ、ASR1000シリーズ（ルータ） 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076222/cisco-sa-20100324-ldp-j.shtml

1-1-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-1-4.回避策

（1）MPLS機能を使用しない場合
MPLS機能を無効にすることにより、回避することができます。

（2）MPLS機能を使用する場合
以下の機能を用いることにより、脆弱性を軽減させることが可能です。

• インフラストラクチャアクセスコントロールリスト（iACL）
• コントロールプレーンポリシング（CoPP）
• 受信アクセスコントロールリスト（rACL）

1-2.TCPセッション確立時における脆弱性について

1-2-1.事象について

該当版数のIOS ソフトウェアを搭載したCisco製品において、以下のいずれかの設定が有効になっている場合で、不正なTCP オプションを含むパケットを受信した際に、機器の再起動やハングアップが発生する可能性があります。

• TCPウィンドウサイズの明示的な設定
• TCP接続におけるパスMTUディスカバリ（PMTUD）(注)
• TCPを使用したStateful NAT（SNAT）

（注）BGP(Border Gateway Protocol)の設定により自動的に有効化される場合もある。

1-2-2.該当製品

対象のIOS ソフトウェアを搭載したCiscoシリーズ（ルータ） 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076223/cisco-sa-20100324-tcp-j.shtml

1-2-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-2-4.回避策

（1）1-2-1項で記載している、本脆弱性に関連する設定を無効にすることで回避できます。

（2）設定を無効にできない場合は、以下の機能を用いることにより、脆弱性を軽減させることが可能です。

• インフラストラクチャアクセスコントロールリスト（iACL）
• コントロールプレーンポリシング（CoPP）

また、BGP（Border Gateway Protocol）を使用している場合は、別途脆弱性を軽減する方法があります。

1-3.不正なIKEパケット受信時における脆弱性について

1-3-1.事象について

該当版数のIOS ソフトウェアを搭載したCisco製品において、不正なIKEパケットを受信した場合に機器が再起動する可能性があります。

1-3-2.該当製品

VPN Acceleration Module 2+（VAM2+）を搭載した Cisco7200シリーズ、およびCisco7301（ルータ）対象のソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076224/cisco-sa-20100324-ipsec-j.shtml

1-3-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-3-4.回避策

設定による回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を実施することができます。

1-4.SIP使用時における脆弱性について

1-4-1.事象について

該当版数のIOS ソフトウェアを搭載したCisco製品において、SIPの処理が有効になっている場合で、不正なSIPメッセージを受信した場合に、機器の再起動や任意のコードを実行される可能性があります。

1-4-2.該当製品

対象のIOS ソフトウェアを搭載したCiscoシリーズ（ルータ） 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076225/cisco-sa-20100324-sip-j.shtml

1-4-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-4-4.回避策

（1）SIPによる処理を実施しない場合
SIP処理を無効にすることにより、回避することができます。

（2）SIPによる処理を実施する場合
コントロール プレーン ポリシングを用いることにより、脆弱性を軽減させることが可能です。

1-5.H.323使用時における脆弱性について

1-5-1.事象について

該当版数のIOS ソフトウェアを搭載したCisco製品において、H.323の処理が有効になっている場合で、不正なH.323メッセージを受信した場合に、インターフェイス キュー ウェッジ（注1）もしくは、メモリ リーク（注2）が発生する可能性があります。

(注1) インターフェイス キュー ウェッジ：ルータやスイッチが特定のパケットを受信してキューに格納した際に、処理エラーによってキューからパケットを削除できなくなる現象

(注2) メモリ リーク：コンピュータの動作中に使用可能なメモリ容量が減少することにより、システムの性能低下や不安定な動作が発生する現象

1-5-2.該当製品

対象のIOSソフトウェア、IOS XEソフトウェアを搭載したCiscoシリーズ、ASR1000シリーズ（ルータ）対象のIOS ソフトウェア、IOS XEソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076226/cisco-sa-20100324-h323-j.shtml

1-5-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-5-4.回避策

（1）H.323による処理を実施しない場合
H.323処理を無効にすることにより、回避することができます。

（2）H.323による処理を実施する場合
不正なH.323メッセージの受信を防ぐためのアクセスリストの設定、ファイアウォールを設置により、脆弱性の 発生を軽減することができます。

1-6.NAT SCCPサポート機能使用時における脆弱性

1-6-1.事象について

該当版数のIOS ソフトウェアを搭載したCisco製品において、NATが設定され、NAT内のSCCPサポート機能が有効になっている場合に不正なSCCPメッセージを受信することで機器の再起動が発生する可能性があります。

1-6-2.該当製品

対象のIOS ソフトウェアを搭載したCiscoシリーズ（ルータ） 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076227/cisco-sa-20100324-sccp-j.shtml

1-6-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-6-4.回避策

SCCPトラフィックをNATで処理する必要がない場合に、SCCPサポート機能を無効にすることにより回避することができます。NATで処理する場合は回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を 実施することができます。

1-7.SCCPメッセージ処理時における脆弱性について

1-7-1.事象について

呼制御、またはSRST（Survivable Remote Site Telephony）機能を持った該当版数のIOS ソフトウェアを搭載したCiscoシリーズにおいて、不正なSCCPメッセージを受信することで機器の再起動が発生する可能性があります。

1-7-2.該当製品

IOS ソフトウェアを搭載し、呼制御、またはSRST機能が搭載されているCiscoシリーズ（ルータ）対象のソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」（和文）を参照願います。

（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076228/cisco-sa-20100324-cucme-j.shtml

1-7-3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。

(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
（和文）
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml

1-7-4.回避策

設定による回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を実施することができます。

2．弊社の対応

1.対応方法

富士通取扱Cisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。

<ソフトウェアインストール作業の代行について>

弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。

2.注意事項

リリースされた脆弱性対処済みソフトウェアを適用する場合には、下記の点に注意願います。

お客様のシステムに対応した脆弱性対処済みソフトウェアの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。但し、お客様のご要望により有償にて弊社にて作業することが可能です。
ソフトウェアを変更した場合、フラッシュメモリ（コンパクトフラッシュ等）やメインメモリ（DRAM等）の容量が不足する場合が有ります。
それらのメモリ容量が不足する場合には、お客様に追加のメモリをご購入いただく必要が有ります。
ソフトウェアの変更をする前に、各メモリ容量を確認して下さい。必要メモリ容量に関しては、シスコシステムズ社ホームページのRelease Notes等を参照下さい。