CISCO製品のBGP脆弱性への対応について

掲載日:2004年8月16日

シスコシステムズ社より報告されている「CISCO製品のBGP脆弱性」について当社対応の準備が整いましたので、ご連絡致します。

1. 概要

シスコシステムズ社から発表された「CISCO製品のBGP脆弱性」について概要を以下に示します。
なお詳細については、3項のシスコシステムズ社関連情報のURLをご参照ください。

1-1．事象

ある特異なBGPパケットを受信した場合、BGPルーティングが設定されたシスコルータおよびスイッチが再起動する脆弱性を有していることが確認されています。本脆弱性により悪意を持った攻撃者によるDoS (Denial of Services：サービス継続不能) 攻撃を受ける可能性があります。

1-2．該当製品

「Cisco IOS ソフトウェアを使用し、BGPルーティングが設定された全てのシスコルータおよびスイッチ」が該当製品となります。富士通シスコファミリーハード製品に関しては、下記を除く全ての製品が対象となります。
  - Cisco 700 series
  - Catalyst 6500 / 6000 series Supervisor Engine I、I-A、II (注:Catalyst OSで動作している場合)
  - Catalyst 5500 series Supervisor Engine II、III、II-G、III-G
  - Catalyst 4003 Supervisor Engine I
  - Catalyst 4006 Supervisor Engine II
  - Catalyst 4912G、2948G、2980G、2980G-A
  - Catalyst 2901、2902、2926T、2926F
  - Catalyst 1900 series
  - PIX Firewall series
  - VPN 5002、3030
  - Aironet 350
  - Aironet 1200 (注:VxWorks OS で動作している場合)
  - CiscoWorks 2000
  - CiscoWorks for Windows
  - CiscoWorks WLSE
  - Cisco Secure ACS

1-3. 恒久対策

対象となるIOSを脆弱性対処済みバージョンへバージョンアップすることで、恒久的な対策を行うことが出来ます。
IOSの脆弱性対処済みバージョンの情報については、3-1項の脆弱性詳細のURLをご参照ください。

1-4．回避策

恒久対策がすぐに実行できない場合の回避策の一例を示します。
ただし、影響する製品が多様であるために対象となるネットワークに適用する回避策を十分に検討する必要があります。

・BGP MD5認証の設定。
・許可されていないトラフィックの基幹設備へのアクセスの遮断。

具体的な設定方法については、3-1項の脆弱性詳細のシスコシステムズ社URLをご参照ください。

ページの先頭へ

2. 当社の対応

2-1．対応

当社の提供するシスコファミリーハードへの対応について以下に示します。

脆弱性対処済みIOSソフトウェアを無償でご提供致します。
ソフトウェアの入手についてはご購入いただいた販売会社、弊社担当営業へお問い合わせください。
またご希望が有る場合は有償にてインストール代行サービスも提供しております。

2-2．注意事項

IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。
FLASH/DRAM必要容量に関しては、3-2項のシスコシステムズ社URL を参照して下さい。

ページの先頭へ