掲載日:2010年6月9日
シスコシステムズ社より、Cisco社製ルータ(Ciscoシリーズ/ASR1000シリーズ)の基本ソフトウェアである、IOSソフトウェア/IOS XEソフトウェアに関して、以下の7件の脆弱性の存在が報告されています。つきましては、脆弱性の概要と弊社の対応方針をご連絡いたします。
該当版数のIOS ソフトウェア/IOS XE ソフトウェアを搭載したCisco製品において、LDPもしくはTDP(Tag Distribution Protocol)を使用してラベルスイッチング方式を用いたパケット転送、すなわちMPLS技術を用いたパケット転送を行った場合、不正なLDPパケットによるDoS(注)攻撃を受け、対象機器の再起動が発生する可能性があります。
(注) DoS(Denial of Service)攻撃:相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて 相手のネットワークを麻痺させる攻撃。
対象のIOS ソフトウェア/IOS XEソフトウェアを搭載したCiscoシリーズ、ASR1000シリーズ(ルータ) 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076222/cisco-sa-20100324-ldp-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
(1)MPLS機能を使用しない場合
MPLS機能を無効にすることにより、回避することができます。
(2)MPLS機能を使用する場合
以下の機能を用いることにより、脆弱性を軽減させることが可能です。
該当版数のIOS ソフトウェアを搭載したCisco製品において、以下のいずれかの設定が有効になっている場合で、不正なTCP オプションを含むパケットを受信した際に、機器の再起動やハングアップが発生する可能性があります。
(注)BGP(Border Gateway Protocol)の設定により自動的に有効化される場合もある。
対象のIOS ソフトウェアを搭載したCiscoシリーズ(ルータ) 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076223/cisco-sa-20100324-tcp-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
(1)1-2-1項で記載している、本脆弱性に関連する設定を無効にすることで回避できます。
(2)設定を無効にできない場合は、以下の機能を用いることにより、脆弱性を軽減させることが可能です。
また、BGP(Border Gateway Protocol)を使用している場合は、別途脆弱性を軽減する方法があります。
該当版数のIOS ソフトウェアを搭載したCisco製品において、不正なIKEパケットを受信した場合に機器が再起動する可能性があります。
VPN Acceleration Module 2+(VAM2+)を搭載した Cisco7200シリーズ、およびCisco7301(ルータ)対象のソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076224/cisco-sa-20100324-ipsec-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
設定による回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を実施することができます。
該当版数のIOS ソフトウェアを搭載したCisco製品において、SIPの処理が有効になっている場合で、不正なSIPメッセージを受信した場合に、機器の再起動や任意のコードを実行される可能性があります。
対象のIOS ソフトウェアを搭載したCiscoシリーズ(ルータ) 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076225/cisco-sa-20100324-sip-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
(1)SIPによる処理を実施しない場合
SIP処理を無効にすることにより、回避することができます。
(2)SIPによる処理を実施する場合
コントロール プレーン ポリシングを用いることにより、脆弱性を軽減させることが可能です。
該当版数のIOS ソフトウェアを搭載したCisco製品において、H.323の処理が有効になっている場合で、不正なH.323メッセージを受信した場合に、インターフェイス キュー ウェッジ(注1)もしくは、メモリ リーク(注2)が発生する可能性があります。
(注1) インターフェイス キュー ウェッジ:ルータやスイッチが特定のパケットを受信してキューに格納した際に、処理エラーによってキューからパケットを削除できなくなる現象
(注2) メモリ リーク:コンピュータの動作中に使用可能なメモリ容量が減少することにより、システムの性能低下や不安定な動作が発生する現象
対象のIOSソフトウェア、IOS XEソフトウェアを搭載したCiscoシリーズ、ASR1000シリーズ(ルータ)対象のIOS ソフトウェア、IOS XEソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076226/cisco-sa-20100324-h323-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
(1)H.323による処理を実施しない場合
H.323処理を無効にすることにより、回避することができます。
(2)H.323による処理を実施する場合
不正なH.323メッセージの受信を防ぐためのアクセスリストの設定、ファイアウォールを設置により、脆弱性の 発生を軽減することができます。
該当版数のIOS ソフトウェアを搭載したCisco製品において、NATが設定され、NAT内のSCCPサポート機能が有効になっている場合に不正なSCCPメッセージを受信することで機器の再起動が発生する可能性があります。
対象のIOS ソフトウェアを搭載したCiscoシリーズ(ルータ) 対象のIOS ソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076227/cisco-sa-20100324-sccp-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
SCCPトラフィックをNATで処理する必要がない場合に、SCCPサポート機能を無効にすることにより回避することができます。NATで処理する場合は回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を 実施することができます。
呼制御、またはSRST(Survivable Remote Site Telephony)機能を持った該当版数のIOS ソフトウェアを搭載したCiscoシリーズにおいて、不正なSCCPメッセージを受信することで機器の再起動が発生する可能性があります。
IOS ソフトウェアを搭載し、呼制御、またはSRST機能が搭載されているCiscoシリーズ(ルータ)対象のソフトウェアに関しては、以下URL の「ソフトウェアのバージョンおよび修正」(和文)を参照願います。
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076228/cisco-sa-20100324-cucme-j.shtml
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、 以下URL の「Software Versions and Fixes」(英文)、又は、「ソフトウェアバージョンおよび修正」(和文)を参照願います。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/107/1076221/cisco-sa-20100324-bundle-j.shtml
設定による回避策は存在しないため、脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を実施することができます。
富士通取扱Cisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。
<ソフトウェアインストール作業の代行について>
弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。
リリースされた脆弱性対処済みソフトウェアを適用する場合には、下記の点に注意願います。
お客様のシステムに対応した脆弱性対処済みソフトウェアの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。但し、お客様のご要望により有償にて弊社にて作業することが可能です。
ソフトウェアを変更した場合、フラッシュメモリ(コンパクトフラッシュ等)やメインメモリ(DRAM等)の容量が不足する場合が有ります。
それらのメモリ容量が不足する場合には、お客様に追加のメモリをご購入いただく必要が有ります。
ソフトウェアの変更をする前に、各メモリ容量を確認して下さい。必要メモリ容量に関しては、シスコシステムズ社ホームページのRelease Notes等を参照下さい。
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部 ネットワークサービス推進部
Tel: 03-6424-6266(直通)