High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSには、データリンクスイッチング(DLSw)機能に複数の脆弱性があり、特別に巧妙に細工されたUDPまたはIPプロトコル91パケットを処理する際に、リロードやメモリリークが発生する可能性があります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性の影響を緩和する回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-dlsw で公開されています。
注:2008年3月26日発行のSecurity Advisoryは5件です。これらのアドバイザリはすべて、シスコのInternetwork Operating System(IOS)に影響を与えます。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正したリリースが記載されています。また、この5つのアドバイザリで説明されている脆弱性を修正したリリースの詳細についても記載されています。
各ドキュメントへのリンクは次のとおりです。
-
Cisco IOSバーチャルプライベートダイヤルアップネットワークのDoS脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-pptp
-
Cisco IOSにおける複数のDLSwサービス拒否の脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-dlsw
-
IPv4/IPv6デュアルスタックルータに関するCisco IOSユーザデータグラムプロトコル(UDP)配信の問題
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-IPv4IPv6
-
OSPF、MPLS VPN、Supervisor 32、Supervisor 720、またはRoute Switch Processor 720を使用するCisco IOSの脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-queue
-
Cisco IOSマルチキャストバーチャルプライベートネットワーク(MVPN)のデータリーク
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080326-mvpn
該当製品
脆弱性のある製品
このセキュリティアドバイザリは、DLSw用に設定された該当するCisco IOSソフトウェアの任意のバージョンを実行するすべてのシスコ製品に適用されます。DLSw機能を備えていても有効になっていないシステムは、この脆弱性の影響を受けません。
DLSwが有効なルータには、ローカルDLSwピアを定義する設定に1行が含まれています。この設定を確認するには、show running-configコマンドを発行します。DLSw用に設定されたシステムには、次のような行が含まれます。
dlsw local-peer
または
dlsw local-peer peer-id <IP address>
下記の「ソフトウェアバージョンおよび修正」セクションに記載されているバージョンより前のCisco IOSのバージョンには、脆弱性が存在します。
シスコ製品で稼働しているCisco IOSソフトウェアのバージョンを確認するには、デバイスにログインし、show versionコマンドを発行してシステムバナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、シスコ製品でCisco IOSソフトウェアリリース12.3(6)が稼働し、インストールされているイメージ名がC3640-IS-Mであることを示しています。
Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-IS-M), Version 12.3(6), RELEASE SOFTWARE (fc3)
次の例は、Cisco IOSソフトウェアリリース12.3(11)T3が稼働し、イメージ名がC3845-ADVIPSERVICESK9-Mである製品を示しています。
Cisco IOS Software, 3800 Software (C3845-ADVIPSERVICESK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc.
Cisco IOSリリースの命名の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性を含んでいないことが確認された製品
DLSwが設定されていないCisco IOSデバイスには脆弱性はありません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
データリンクスイッチング(DLSw)は、IBM Systems Network Architecture(SNA)およびNetwork Basic Input/Output System(NetBIOS)トラフィックをIPネットワーク上で転送する手段を提供します。シスコのDLSw実装では、Fast Sequenced Transport(FST)にUDPポート2067とIPプロトコル91も使用します。
Cisco IOSでは、UDPおよびIPプロトコル91のパケットを処理する際に複数の脆弱性が存在します。これらの脆弱性は、TCPパケット処理には影響しません。不正利用に成功すると、システムのリロードまたはデバイスのメモリリークが発生し、サービス拒否(DoS)状態が発生する可能性があります。
dlsw local-peerを使用してDLSw用に設定されたCisco IOSデバイスは、IPプロトコル91パケットを自動的にリッスンします。dlsw local-peer peer-id <IP-address>コマンドを使用してDLSwに設定されたCisco IOSデバイスは、IPプロトコル91パケットとUDPポート2067をリッスンします。
Cisco IOSデバイスは、DLSwが設定されるとIPプロトコル91パケットをリッスンします。ただし、DLSwがFast Sequenced Transport(FST)用に設定されている場合にのみ使用されます。DLSw FSTピア設定には、次の行が含まれます。
dlsw remote-peer 0 fst <ip-address>
dlsw udp-disableコマンドを使用して、DLSwのUDP処理を無効にすることができます。ただし、UDPを無効にするとUDPパケットの送信のみが阻止され、デバイスによる着信UDPパケットの受信と処理は阻止されません。
これらの脆弱性は、Cisco Bug ID CSCsk73104 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-1152が割り当てられています。
回避策
回避策は、ポート2067へのUDPパケットおよびIPプロトコル91パケットのフィルタリングで構成されます。フィルタは、ネットワーク境界で、すべてのIPプロトコル91パケットおよびUDPパケットをポート2067でフィルタリングするために適用できます。また、信頼できるピアIPアドレスからのみこのようなトラフィックを許可するために、影響を受ける個々のデバイスに適用することもできます。ただし、両方のプロトコルがコネクションレス型であるため、攻撃者が正規のピアIPアドレスからの不正なパケットをスプーフィングする可能性があります。
DLSwが設定されるとすぐに、Cisco IOSデバイスはIPプロトコル91をリッスンし始めます。ただし、このプロトコルは、DLSwがFast Sequenced Transport(FST)用に設定されている場合にのみ使用されます。DLSw FSTピア設定には、次の行が含まれます。
dlsw remote-peer 0 fst <ip-address>
FSTが使用されている場合は、IPプロトコル91をフィルタリングすると動作が中断されるため、フィルタは正当なピアIPアドレスからのプロトコル91トラフィックを許可する必要があります。
dlsw udp-disableコマンドを使用して、DLSwのUDP処理を無効にすることができます。ただし、UDPを無効にするとUDPパケットの送信のみが阻止され、着信UDPパケットの受信と処理は阻止されません。UDPポート2067経由で悪意のあるパケットから脆弱なデバイスを保護するには、次の両方のアクションを実行する必要があります。
-
「dlsw udp-disable」コマンドでUDP発信パケットを無効にする
-
インフラストラクチャACLを使用して、脆弱性のあるデバイスのUDP 2067をフィルタリングします。
ネットワーク内のCiscoデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。
該当するデバイスでのコントロールプレーンポリシングの使用
コントロールプレーンポリシング(CoPP)を使用して、デバイスへの信頼できないDLSwトラフィックをブロックできます。Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T は、CoPP 機能をサポートしています。デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例では、192.168.100.1を使用して信頼できるホストを表しており、ネットワークに適用できます。FSTが使用されていない場合は、プロトコル91が完全にフィルタリングされている可能性があります。また、dlsw udp-disableコマンドでUDPが無効になっている場合は、UDPポート2067も完全にフィルタリングされる可能性があります。
!--- Deny DLSw traffic from trusted hosts to all IP addresses !--- configured on all interfaces of the affected device so that !--- it will be allowed by the CoPP feature access-list 111 deny udp host 192.168.100.1 any eq 2067 access-list 111 deny 91 host 192.168.100.1 any !--- Permit all other DLSw traffic sent to all IP addresses !--- configured on all interfaces of the affected device so that it !--- will be policed and dropped by the CoPP feature access-list 111 permit udp any any eq 2067 access-list 111 permit 91 any any !--- Permit (Police or Drop)/Deny (Allow) all other Layer 3 and Layer 4 !--- traffic in accordance with existing security policies and !--- configurations for traffic that is authorized to be sent !--- to infrastructure devices !--- Create a Class-Map for traffic to be policed by !--- the CoPP feature class-map match-all drop-DLSw-class match access-group 111 !--- Create a Policy-Map that will be applied to the !--- Control-Plane of the device. policy-map drop-DLSw-traffic class drop-DLSw-class drop !--- Apply the Policy-Map to the Control-Plane of the !--- device control-plane service-policy input drop-DLSw-traffic
上記のCoPPの例では、access control entries(ACE;アクセスコントロールエントリ)の潜在的な悪用パケットに「permit」アクションが一致する場合、これらのパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクション(非表示)に一致するパケットは、ポリシーマップのdrop機能の影響を受けません。Cisco IOS 12.2Sトレインと12.0Sトレインでは、ポリシーマップの構文が異なることに注意してください。
policy-map drop-DLSw-traffic class drop-DLSw-class police 32000 1500 1500 conform-action drop exceed-action drop
CoPP機能の設定と使用方法の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlを参照してください。
ネットワーク境界でのインフラストラクチャACLの使用
ネットワークを通過するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャデバイスに決して許可すべきではないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。iACLはネットワークセキュリティのベストプラクティスであり、優れたネットワークセキュリティへの長期的な付加機能として、またこの特定の脆弱性の回避策として考慮する必要があります。以下に示すiACLの例は、インフラストラクチャIPアドレス範囲内のIPアドレスを持つすべてのデバイスを保護するために配備されるインフラストラクチャアクセスリストの一部として含める必要があります。FSTが使用されていない場合は、プロトコル91が完全にフィルタリングされている可能性があります。また、dlsw udp-disableコマンドでUDPが無効になっている場合は、UDPポート2067も完全にフィルタリングされる可能性があります。
!--- Permit DLSw (UDP port 2067 and IP protocol 91) packets !--- from trusted hosts destined to infrastructure addresses. access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 2067 access-list 150 permit 91 TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK !--- Deny DLSw (UDP port 2067 and IP protocol 91) packets from !--- all other sources destined to infrastructure addresses. access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 2067 access-list 150 deny 91 any INFRASTRUCTURE_ADDRESSES MASK !--- Permit/deny all other Layer 3 and Layer 4 traffic in accordance !--- with existing security policies and configurations !--- Permit all other traffic to transit the device. access-list 150 permit ip any any interface serial 2/0 ip access-group 150 in
ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このホワイトペーパーは、以下のリンクから入手可能です。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
メジャー リリース |
修正済みリリースの入手可能性 |
|
---|---|---|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.0(8)DA3より前のリリースには脆弱性があり、12.0(8)DA3以降のリリースには脆弱性はありません。12.2DAの任意のリリースに移行してください。 |
||
12.0(7)DBより前のリリースには脆弱性があり、12.0(7)DB以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.4(18a) |
|
12.0(7)DCより前のリリースには脆弱性があり、12.0(7)DC以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.4(18a) |
|
12.0(17)S5より前のリリースには脆弱性があり、12.0(17)S5以降のリリースには脆弱性はありません。 |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。TACに連絡 |
12.0(3c)W5(8) |
|
脆弱性あり。TACに連絡 |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
12.0(2)XC2より前のリリースには脆弱性があり、12.0(2)XC2以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.1E) |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.0(4)XI2より前のリリースには脆弱性があり、12.0(4)XI2以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
12.0(4)XJ5より前のリリースには脆弱性があり、12.0(4)XJ5以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
12.1(22)AY1より前のリリースには脆弱性があり、12.1(22)AY1以降のリリースには脆弱性はありません。 |
12.1(22)EA11 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.1(4)DB1より前のリリースには脆弱性があり、12.1(4)DB1以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.4(18a) |
|
12.1(4)DC2より前のリリースには脆弱性があり、12.1(4)DC2以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.4(18a) |
|
12.1(27b)E4 |
||
12.1(11)EA1より前のリリースには脆弱性があり、12.1(11)EA1以降のリリースには脆弱性はありません。 |
12.1(22)EA11 |
|
脆弱性なし |
||
脆弱性あり。12.2BCの任意のリリースに移行 |
12.3(23)BC1 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.1E) |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.1E) |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.1(3)XT2より前のリリースには脆弱性があり、12.1(3)XT2以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性なし |
||
12.1(5)XV1より前のリリースには脆弱性があり、12.1(5)XV1以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.1(5)YE1より前のリリースには脆弱性があり、12.1(5)YE1以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(20)EXより前のリリースには脆弱性があり、12.2(20)EX以降のリリースには脆弱性はありません。12.2SEAの任意のリリースに移行してください。 |
12.2(40)EX1 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。TACに連絡 |
||
脆弱性あり。TACに連絡 |
||
脆弱性あり。TACに連絡 |
||
脆弱性あり。TACに連絡 |
||
脆弱性あり。12.2IXFの任意のリリースに移行 |
12.2(18)IXF(2008年3月31日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(15)MC2h |
12.2(15)MC2k |
|
12.2(25)S15 |
12.2(25)S15 |
|
12.2(28)SB10 12.2(31)SB9 12.2(33)SB(2008年3月31日に入手可能) |
12.2(31)SB11 |
|
脆弱性あり。最初の修正は12.2SB。2008年3月31日に入手可能 |
12.2(31)SB11 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(44)SG |
12.2(44)SG |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(33)SRA6 |
12.2(33)SRA7 |
|
12.2(33)SRB3(2008年4月7日に入手可能) |
12.2(33)SRB3(2008年4月14日に入手可能) |
|
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.2(29a)SV1より前のリリースには脆弱性があり、12.2(29a)SV1以降のリリースには脆弱性はありません。12.2SVAの任意のリリースに移行してください。 |
12.2(29b)SV |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(25)SW10より前のリリースには脆弱性があり、12.2(25)SW10以降のリリースには脆弱性はありません。 |
||
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
12.2(18)SXF12 12.2(18)SXF12a |
12.2(18)SXF13 |
|
12.2(33)SXH1 |
12.2(33)SXH2 |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.2S) |
12.2(25)S15 12.2(31)SB11 12.2(33)SRC |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.2(8)TPC10d |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.2(33)XN1 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.2(4)YA8より前のリリースには脆弱性があり、12.2(4)YA8以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.2S) |
12.2(25)S15 12.2(31)SB11 12.2(33)SRC |
|
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
12.2(8)YJ1より前のリリースには脆弱性があり、12.2(8)YJ1以降のリリースには脆弱性はありません。最初の修正は12.3です。 |
12.3(26) |
|
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.2(11)YV1より前のリリースには脆弱性があり、12.2(11)YV1以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.2S) |
12.2(25)S15 12.2(31)SB11 12.2(33)SRC |
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF13 |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性あり。TACに連絡 |
||
脆弱性あり。最初の修正は12.3 |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
12.2(13)ZH6より前のリリースには脆弱性があり、12.2(13)ZH6以降のリリースには脆弱性はありません。最初の修正は12.4です。 |
12.2(13)ZH11 |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(15)T4 12.4(18a) |
|
脆弱性なし |
||
脆弱性あり(最初の修正は12.2SXH) |
12.2(33)SXH2 |
|
12.2(18)ZY2 |
12.2(18)ZY2 |
|
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
12.3(24) |
12.3(26) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.3(8)JK1より前のリリースには脆弱性があり、12.3(8)JK1以降のリリースには脆弱性はありません。 |
12.3(8)JK1 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性あり。TACに連絡 |
||
12.3(2)XA7(2008年3月31日に入手可能) |
12.3(2)XA7(2008年3月31日に入手可能) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.3(2)XC5 |
12.4(15)T4 12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.3(2)XE6(2008年3月31日に入手可能) |
12.4(15)T4 12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり。最初の修正は12.3YG。2008年6月16日に入手可能 |
12.4(15)T4 12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.3(7)XI11(2008年9月18日に入手可能) |
||
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
脆弱性あり(最初の修正は12.4) |
12.4(18a) |
|
12.3(7)XR8(2008年3月31日に入手可能) |
12.3(7)XR8(2008年3月31日に入手可能) |
|
脆弱性なし |
||
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T4 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T4 |
|
12.3(8)YG7(2008年6月16日に入手可能) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
12.3(14)YM12 |
12.3(14)YM12 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
12.3(11)YS3(2008年3月31日に入手可能) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4XB) |
||
12.3(14)YX11 |
12.3(14)YX11 |
|
12.3(11)YZ3 |
||
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
12.4(10c) 12.4(13e) 12.4(16b) 12.4(17) 12.4(3h) 12.4(8d) |
12.4(18a) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。TACに連絡 |
12.4(15)SW |
|
12.4(15)T2 12.4(6)T10 12.4(9)T7 |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
12.4(2)XB6 |
||
脆弱性あり。TACに連絡 |
||
12.4(4)XD10 |
12.4(4)XD10 |
|
12.4(6)XE2 |
12.4(15)T4 |
|
脆弱性なし |
||
12.4(9)XG2 |
12.4(9)XG2 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T4 |
|
12.4(15)XL2 |
12.4(15)XL2 |
|
脆弱性なし |
||
脆弱性なし |
||
12.4(6)XT2 |
12.4(6)XT2 |
|
12.4(11)XV |
||
脆弱性あり。TACに連絡 |
12.4(11)XW6 |
|
脆弱性なし |
Cisco IOS Software Modularity用の特別なパッチは、12.2(18)SXF11でも入手でき、https://sec.cloudapps.cisco.com/swdf/ionpn/jsp/result.jsp?s_tarballWild=mp001-p.122-18.SXF11&reqType=cWorkのCisco IOS Software Modularity Patch Navigatorからダウンロードできます。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
これらの脆弱性はシスコ内部で発見されたものです。
URL
改訂履歴
Revision 1.5 |
2008年6月26日 |
概要を更新して、リンクと文言を削除しました。 |
リビジョン 1.4 |
2008年4月25日 |
CSCsk73104のCVSSスコアへのリンクを更新 |
リビジョン 1.3 |
2008年4月21日 |
IOS Software Modularityパッチの特定のリンクを追加 |
リビジョン 1.2 |
2008年3月31日 |
IOS First Fixed Tableを正しいテーブルに置き換える – 3/28と3/31の間に見えるデータが正しくなかった |
リビジョン 1.1 |
2008年3月29日 |
アドバイザリID cisco-sa-20080326-IPv4IPv6(IPv4IPv6デュアルスタックルータに関する3月26日のアドバイザリ)に関する新しい情報が追加されたため、12.0S、12.0SY、12.0SX、および12.0SZのソフトウェアテーブルを更新。 |
リビジョン 1.0 |
2008年3月26日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。