Skip to main content

Fujitsu

Japan

CISCO製品のBGPに関する脆弱性への対応について

掲載日:2005年3月31日

シスコシステムズ社より報告されております「CISCO製品のBGPに関する脆弱性」について当社対応の準備が整いましたのでご連絡いたします。

1. 概要

IOSで動作しているCISCO製品は、特殊なBGPパケットによるDOS攻撃を受けると製品本体が再起動する脆弱性を有しています。
なお詳細については3項のシスコシステムズ社関連情報のURLをご参照ください。

1-1.事象

本脆弱性はIOSで動作しているシスコ製品で、BGPルーティングを使用し、かつbgp log-neighbor-changesコマンドにて設定している場合が対象となります。ある特殊なBGPパケットを受信した場合、処理するためにインターフェースのキューがたまります。BGP neighbor changeのログが発生した時にすでにキューがいっぱいになっている場合、製品本体が再起動する可能性があります。
本脆弱性により悪意を持った攻撃者によるDoS(Denial of Services:サービス継続不能)攻撃を受ける可能性があります。

1-2.該当製品

「Cisco IOS ソフトウェアを使用し、BGPを有効にしていて、かつbgp log-neighbor-changesコマンドにて設定しているシスコルータおよびスイッチ」が該当製品となります。
富士通シスコファミリーハード製品に関しては、下記を除く全ての製品が対象となります。
(対象外製品)
- Cisco 700 series
- Catalyst 6500/6000 series Supervisor Engine I, I-A, II
(注意: Catalyst OS で動作している場合)
- Catalyst 5500 series Supervisor Engine II, III, II-G, III-G
- Catalyst 4003 Supervisor Engine I
- Catalyst 4006 Supervisor Engine II
- Catalyst 4912G, 2948G, 2980G, 2980G-A
- Catalyst 2901, 2902, 2926T, 2926F
- Catalyst 1900 series
- PIX Firewall series
- VPN 5002, 3030
- Aironet 350
- Aironet 1200 (注意: VxWorks OS で動作している場合)
- CiscoWorks 2000
- CiscoWorks for Windows
- CiscoWorks WLSE
- Cisco Secure ACS
【注意】
(デフォルトでbgp log-neighbor-changesが設定されているIOSのバージョン)
IOS Version 12.0(22)S以降
IOS Version 12.0(11)ST以降
IOS Version 12.1(10)E以降
IOS Version 12.1(10)以降
IOS Version 12.2
IOS Version 12.3


1-3.恒久対策

対象となるIOSを脆弱性対処済みバージョンへバージョンアップすることで、恒久的な対策を行うことが出来ます。
IOSの脆弱性対処済みバージョンの情報については、3-1項の脆弱性詳細のURLをご参照ください。

1-4.回避策

本脆弱性による影響を緩和する回避策としてネットワークセキュリティを構築するためにアクセスリストの適用が考えられます。ただし、影響する製品が多様であるために対象となるネットワークに適用する回避策を十分に検討する必要があります。
(BGP脆弱性に対する回避策) ・ bgp log-neighbor-changesの設定の消去
・ BGP MD5認証の適用
・ Infrastructure ACLの利用
具体的な設定方法については、3-1項の脆弱性詳細のシスコシステムズ社URLをご参照ください


ページの先頭へtopofpage


2. 当社の対応

2-1.対応

当社の提供するシスコファミリ-ハードへの対応について以下に示します。



脆弱性対処済みIOSソフトウェアを無償でご提供致します。
ソフトウェアの入手についてはご購入いただいた販売会社、弊社担当営業へお問い合わせください。
またご希望が有る場合は有償にてインストール代行サービスも提供しております。

2-2.注意事項

IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、3-2項のシスコシステムズ社URL を参照して下さい。


ページの先頭へtopofpage


3. シスコシステムズ社関連情報

3-1. 脆弱性詳細

シスコシステムズ社からの発表の詳細は下記URLをご参照ください。

【英語】
Cisco IOS Misformed BGP Packet Causes Reload

3-2. Release Notes

  1. 12.3TのRelease Notes
  2. 12.3のRelease Notes
  3. 12.2SのRelease Notes
  4. 12.2TのRelease Notes
  5. 12.2のRelease Notes
  6. 12.1EのRelease Notes
  7. 12.1TのRelease Notes
  8. 12.1のRelease Notes
  9. 12.0SのRelease Notes
  10. 12.0TのRelease Notes
  11. 12.0のRelease Notes

お問い合わせ先

ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。

サービスビジネス本部
ネットワークプロダクト推進部
icon-telephone Tel: (03)6424-6263(直通)

ページの先頭へtop fo page

関連製品・サービス

人と人とをつなげるネットワークソリューション
富士通からの環境メッセージ 各プロダクト担当によるディスカッション 省エネ対策とIT基盤の最適化、どう進めていくか?
事例 スクウェア・エニックス様 / ワークスタイル変革を実現する、次世代コミュニケーション基盤