CISCO製品のTelnet、HTTPおよびSSH 脆弱性への対応について

掲載日:2004年8月16日

シスコシステムズ社よりより報告されている「Catalyst製品のTelnet、HTTPおよびSSHに関する脆弱性」について当社対応の準備が整いましたのでご連絡いたします。

1. 概要

シスコシステムズ社から発表された「Catalyst製品のTelnet、HTTPおよびSSHに関する脆弱性」について概要を以下に示します。
なお詳細については3項のシスコシステムズ社関連情報のURLをご参照ください。

1-1．事象

Telnet、HTTPおよびSSHサービス上でTCP-ACK DOS攻撃を受けると、機能が止まったり、CatOSで動作しているシスコスイッチが再起動する脆弱性を有しています。
TCP-ACK DOS攻撃はTCPコネクションを確立するプロセス中に不正な応答を返すことで,コネクションを途中で終了し、コネクションを最初からしなおすところを衝いています。
リモートからTelnet、HTTPおよびSSHサービス上でTCP-ACK DOS攻撃を受けると、機能が止まったり、CatOSで動作しているシスコスイッチが再起動する可能性があります。

1-2．該当製品

「CatOSを使用している全てのシスコスイッチ」が該当製品となります。
富士通シスコファミリーハード製品に関しては、下記の製品が対象となります。
- Catalyst 6500/6000 series Supervisor EngineI、I-A、II (注意:Catalyst OSで動作している場合)
- Catalyst 5500 series Supervisor EngineII、III、II-G、III-G
- Catalyst 4003 Supervisor Engine I
- Catalyst 4006 Supervisor Engine II
- Catalyst 4912G、2948G、2980G、2980G-A
- Catalyst 2901、2902、2926T、2926F

1-3. 恒久対策

対象となるIOSを脆弱性対処済みバージョンへバージョンアップすることで、恒久的な対策を行うことが出来ます。
IOSの脆弱性対処済みバージョンの情報については、3-1項の脆弱性詳細のURLをご参照ください。

1-4．回避策

恒久対策がすぐに実行できない場合の回避策の一例を示します。
ただし、影響する製品が多様であるために対象となるネットワークに適用する回避策を十分に検討する必要があります。

・ルータなどでアクセスコントロールする。
・特定のポートに対してアクセスリスト(ACL)を適用する。
・Catalyst6000シリーズでVLANアクセスリスト(ACL)を適用する。

注: ただし、紹介した回避策は送信元がネットワーク管理端末になりすまされたトラフィックに対応することができないので、十分に注意する必要があります。
具体的な設定方法については、3-1項の脆弱性詳細のシスコシステムズ社URLをご参照ください

ページの先頭へ

2. 当社の対応

2-1．対応

当社の提供するシスコファミリーハードへの対応について以下に示します。

脆弱性対処済みIOSソフトウェアを無償でご提供致します。
ソフトウェアの入手についてはご購入いただいた販売会社、弊社担当営業へお問い合わせください。
またご希望が有る場合は有償にてインストール代行サービスも提供しております。

2-2．注意事項

IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。
FLASH/DRAM必要容量に関しては、3-2項のシスコシステムズ社URL を参照して下さい。

ページの先頭へ