Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
複数のシスコ製品に、Simple Network Management Protocol version 3(SNMPv3)機能の2つの認証の脆弱性のいずれかが存在します。これらの脆弱性は、不正なSNMPv3メッセージを処理する際に不正利用される可能性があります。これらの脆弱性により、ネットワーク情報が公開されたり、攻撃者が脆弱性のあるデバイスに対して設定を変更する可能性があります。SNMPサーバは、シスコ製品ではデフォルトで無効になっているオプションサービスです。これらの脆弱性の影響を受けるのはSNMPv3だけです。このドキュメントで説明されている脆弱性の影響を軽減するための回避策があります。
注:SNMPバージョン1、2、および2cは、これらの脆弱性の影響を受けません。
United States Computer Emergency Response Team(US-CERT)は、これらの脆弱性に対して脆弱性ノートVU#878044を割り
当てています。
これらの脆弱性には、Common Vulnerabilities and Exposures(CVE)ID CVE-2008-0960も割り当てられています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080610-snmpv3 で公開されています。
該当製品
脆弱性のある製品
次のシスコ製品には脆弱性が存在します。
- Cisco IOS
- Cisco IOS-XR
- Cisco Catalystオペレーティングシステム(CatOS)
- Cisco NX-OS
- Cisco Application Control Engine(ACE)モジュール
- Cisco ACEアプライアンス
- Cisco ACE XML Gateway
- Cisco MDS 9000 シリーズ マルチレイヤ ファブリック スイッチ
- Cisco Wireless LAN Controller(WLC)
- Cisco Application and Content Networking System(ACNS)
- Cisco Wide Area Application Services(WAAS)
- Cisco MGX 8830、8850、8880メディアゲートウェイおよびスイッチ
- Cisco Internet Streamer CDS
- Cisco 8472DVBセットトップボックス
- Cisco 8485DVBセットトップボックス
注:SNMPサーバはデフォルトで無効になっています。これらの脆弱性は、SNMPv3用に設定されたデバイスにのみ影響します。
Cisco IOS、CatOS、およびIOS-XRで設定されているSNMPのバージョンを確認するには、デバイスにログインしてshow snmp groupコマンドを発行します。セキュリティモデルフィールドは、設定されているSNMPのバージョンを示します。出力「usm」は、ユーザベースのセキュリティモデルの省略形で、SNMPv3が設定されていることを示しています。
Cisco IOS router#show snmp group groupname: test security model:v3 auth readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active Cisco CatOS 5500-1 (enable) show snmp group Security Model: v3 Security Name: userv3 Group Name: groupv3 Storage Type: nonvolatile Row Status: active Cisco IOS-XR RP/0/RP0/CPU0:ios#show snmp group groupname: test security model:usm readview : v1default writeview: - notifyview: v1default row status: nonVolatile
IronPort
IronPort Cシリーズ、Xシリーズ、およびMシリーズのアプライアンスは、このアドバイザリで説明されているコードを使用しますが、セキュリティリスクの影響を受けません。IronPort Cシリーズ、Xシリーズ、およびMシリーズには、このアドバイザリに基づいてライブラリが組み込まれており、システムの健全性データへの匿名の読み取り専用アクセスが提供されます。認証権限がエスカレートして、サードパーティがIronPortデバイスの設定を変更できるようになるリスクはありません。IronPort Sシリーズおよび暗号化アプライアンスは、このアドバイザリの影響を受けません。この発表は、IronPortのお客様が利用できるIronPort Support Portalにも掲載されています。https://supportportal.ironport.com/irppcnctr/srvcd?u=http://secure-support.soma.ironport.com/announcement&sid=900016
脆弱性を含んでいないことが確認された製品
次のシスコ製品には脆弱性が存在しないことが確認されています。
- Cisco PIXセキュリティアプライアンス
- Cisco ASAセキュリティアプライアンス
- Cisco Firewall Services Module(FWSM)
- Cisco Security Monitoring, Analysis, and Response System(MARS)
- Cisco Network Admission Control(NAC)アプライアンス
- CiscoWorks Wireless LAN Solution Engine(WLSE)
- Cisco BTS 10200 Softswitch
- Cisco Content Services Gateway
- Cisco Network Registrar
- Cisco Access Registrar
- Cisco PSTNゲートウェイ(PGW2200)
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
SNMPは、インターネットプロトコル(IP)ネットワーク内のデバイスのリモート管理およびモニタリングの標準メカニズムを定義します。
SNMP操作には、一般的に3つのタイプがあります。1つは、情報を要求する「get」要求、もう1つは、リモートデバイスの構成を変更する「set」要求、もう1つは、監視機能を提供する「trap」メッセージです。SNMP要求とトラップは、ユーザデータグラムプロトコル(UDP)を介して転送され、割り当てられた宛先ポート番号161と162でそれぞれ受信されます。
SNMPv3は、ネットワーク上でパケットを認証および暗号化することにより、デバイスへのセキュアなアクセスを提供します。RFC2574では、SNMPv3の可能な認証プロトコルとしてHMAC-MD5-96とHMAC-SHA-96の使用が定義されています。
複数のSNMPv3実装の認証コードで脆弱性が確認されています。このアドバイザリでは、ほぼ同一の2つの脆弱性を特定しています。どちらも、特にHash Message Authentication Code(HMAC;ハッシュメッセージ認証コード)を操作する不正なSNMPv3パケットに関連しています。この2つの脆弱性は、Secure Hashing Algorithm-1(SHA-1)とMessage-Digest Algorithm 5(MD5)の両方に影響する可能性があります。このドキュメントで説明されている脆弱性は、スプーフィングされたSNMPv3パケットを使用して悪用される可能性があります。
これらの脆弱性は、次のCisco Bug IDに記載されています。
- CSCsf04754 - IOS SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsf30109 - IOS-XR SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsf29976:CatOS SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsq62662:ACE XML Gw SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsq60664:ACEアプライアンスSNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsq60695:ACEモジュールのSNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsq60582:Nexus SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsq77604:WLC SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsv79388:ACNS SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCsv82725:WAAS SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCte57592:MGX SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCti05966:Cisco Internet Streamer CDS SNMPv3 HMAC認証の問題(登録ユーザ専用)
- CSCub72133:Cisco 8472DVB Set Top Box SNMPv3 HMAC Authentication issue(登録ユーザ専用)
- CSCub72121:Cisco 8485DVB Set Top Box SNMPv3 HMAC Authentication issue(登録ユーザ専用)
注:複数のソフトウェア不具合が記載されていますが、このアドバイザリでは2つの脆弱性のみを特定します。さまざまなシスコ製品には独自の修正が必要であるため、追加のバグIDが割り当てられています。
回避策
これらの脆弱性に対しては、次の回避策が確認されています。
インフラストラクチャ アクセス コントロール リスト
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャ デバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。Infrastructure Access Control Lists (iACLs) は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれる IP アドレスを持つ全ての機器を防御します:
注:UDPポート161は、SNMPのすべてのバージョンに適用できます。
!--- Permit SNMP UDP 161 packets from !--- trusted hosts destined to infrastructure addresses. access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161 !--- Deny SNMP UDP 161 packets from all !--- other sources destined to infrastructure addresses. access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161 !--- Permit/deny all other Layer 3 and Layer 4 traffic in accordance !--- with existing security policies and configurations !--- Permit all other traffic to transit the device. access-list 150 permit ip any any !--- Apply iACL to relevant interfaces interface serial 2/0 ip access-group 150 in
ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護アクセスリストのガイドラインと推奨される導入方法について説明しています。
このホワイトペーパーは、次のリンク先で入手できます。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml
コントロール プレーン ポリシング
コントロールプレーンポリシング(CoPP)を使用して、デバイスへの信頼できないSNMPアクセスをブロックできます。Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T は、CoPP 機能をサポートしています。管理およびコントロールプレーンを保護するために CoPP を機器に設定し、既存のセキュリティーポリシーとコンフィギュレーションに従って認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。次の例では、192.168.100.1を使用して信頼できるホストを表しており、ネットワークに適用できます。
!--- Deny SNMP UDP traffic from trusted hosts to all IP addresses !--- configured on all interfaces of the affected device so that !--- it will be allowed by the CoPP feature access-list 111 deny udp host 192.168.100.1 any eq 161 !--- Permit all other SNMP UDP traffic sent to all IP addresses !--- configured on all interfaces of the affected device so that it !--- will be policed and dropped by the CoPP feature access-list 111 permit udp any any eq 161 !--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4 !--- traffic in accordance with existing security policies and !--- configurations for traffic that is authorized to be sent !--- to infrastructure devices !--- Create a Class-Map for traffic to be policed by !--- the CoPP feature class-map match-all drop-snmpv3-class match access-group 111 !--- Create a Policy-Map that will be applied to the !--- Control-Plane of the device. policy-map drop-snmpv3-traffic class drop-snmpv3-class drop !--- Apply the Policy-Map to the !--- Control-Plane of the device control-plane service-policy input drop-snmpv3-traffic
上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ (ACE) に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、policy-map の "drop" 機能の影響を受けません。
policy-map の構文は、12.2S と 12.0S Cisco IOS トレインでは異なるので注意が必要です:
policy-map drop-snmpv3-traffic class drop-snmpv3-class police 32000 1500 1500 conform-action drop exceed-action drop
CoPP機能の設定と使用方法の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlを参照してください。
トランジット アクセス コントロール リスト
UDPポート161を使用するSNMPパケットを拒否するフィルタを、入力アクセスポイントからネットワークに入るトラフィックを保護するために、Transit Access Control List(tACL;トランジットアクセスコントロールリスト)ポリシーの一部としてネットワーク全体に展開する必要があります。フィルタが適用されるデバイスとその背後にある他のデバイスを保護するには、このポリシーを設定する必要があります。UDPポート161を使用するSNMPパケットのフィルタも、信頼できるクライアントからのトラフィックだけが許可されるように、脆弱性のあるネットワークデバイスの前に展開する必要があります。
tACLについての詳細は、『トランジットアクセスコントロールリスト:エッジでのフィルタリング』を参照してください。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml
強化ガイドの説明
IOSデバイスをSNMPv3認証およびプライバシー用に設定する方法については、『Cisco Guide to Harden Cisco IOS Devices』の「Fortifying the Simple Network Management Protocol」の項を参照してください。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#fortify
Cisco IOSおよびSAN-OSのauthPrivの設定
SNMPv3プライバシーサブシステム(まだ使用されていない場合)を有効にするのは、タイムリーにアップグレードできないユーザに対する短期的な回避策です。このサブシステムは、共有秘密を使用してSNMPv3トラフィックを暗号化するために使用されます。
Cisco IOSでは、管理者はauthPriv SNMPv3機能を使用してこの回避策を有効にできます。authPriv機能を実行できるのは、Cisco IOS暗号化イメージだけです。
Cisco SAN-OSでは、管理者はsnmp-server globalEnforcePriv設定コマンドを使用してこの回避策を有効にできます。
Cisco SAN-OSのglobalEnforcePrivコマンドの詳細については、『Cisco MDS 9000 Family CLI Configuration Guide:』http://www.cisco.com/en/US/docs/storage/san_switches/mds9000/sw/rel_3_x/configuration/guides/cli_3_3_1/snmp.html#wp1352055
注:この機能を実装する前に、管理アプリケーションがSNMPv3 authPrivをサポートしていることを確認してください。
適用対応策速報
ネットワーク内のCiscoデバイスに導入できる追加の軽減方法については、このアドバイザリに関連するCisco Applied Intelligenceのドキュメントhttps://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080610-SNMPv3を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.0(2)DB |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.0(28)S1 12.0(32)S5 12.0(33)S |
||
|
12.0(7)SC |
||
|
脆弱性あり(最初の修正は12.0S) |
||
|
脆弱性あり(最初の修正は12.0S) |
||
|
脆弱性あり(最初の修正は12.0S) |
||
|
脆弱性あり(最初の修正は12.0S) |
||
|
12.0(32)SY1 |
||
|
12.0(30)SZ4 |
||
|
12.0(1)T |
12.4(18b) |
|
|
脆弱性なし |
||
|
12.0(5)WC16 |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.0(1)XE |
||
|
12.0(2)XF1 |
12.0(2)XF |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
12.0(4)XI2より前のリリースには脆弱性があり、12.0(4)XI2以降のリリースには脆弱性はありません。最初に修正されたのは12.2です |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.0T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.0T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.1E |
||
|
脆弱性あり(最初の修正は12.0T) |
12.4(18b) |
|
|
脆弱性なし |
||
|
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.2EY |
||
|
脆弱性あり、最初の修正は12.1EA |
12.1(22)EA11 |
|
|
脆弱性あり、最初の修正は12.1EA |
12.1(22)EA11 |
|
|
12.1(7)CXより前のリリースには脆弱性があり、12.1(7)CX以降のリリースには脆弱性はありません。最初に修正されたのは12.2です |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.2DA |
||
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.1(1)E2 |
||
|
12.1(22)EA10 |
12.1(22)EA11 |
|
|
脆弱性あり。TACにお問い合わせください |
||
|
脆弱性あり、最初の修正は12.3BC |
||
|
12.1(19)EO6 |
12.2(29)SVD1(2008年6月13日に入手可能) |
|
|
脆弱性あり(最初の修正は12.2SG) |
12.2(25)EWA14 12.2(31)SGA7 12.2(44)SG |
|
|
脆弱性あり(最初の修正は12.2SV) |
12.2(29)SVD1(2008年6月13日に入手可能) |
|
|
脆弱性あり、最初の修正は12.2EW |
12.2(25)EWA14 12.2(31)SGA7 12.2(44)SG |
|
|
脆弱性あり、最初の修正は12.1E |
||
|
脆弱性あり、最初の修正は12.1E |
||
|
脆弱性あり、最初の修正は12.1E |
||
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.1E |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
12.1(5)YE6より前のリリースには脆弱性があり、12.1(5)YE6以降のリリースには脆弱性はありません。12.3で最初に修正されています。 |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.1EA |
12.1(22)EA11 |
|
|
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
12.2(26c)12.2(27c)12.2(28d)12.2(29b)12.2(40) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.3BC |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.3XI |
||
|
脆弱性あり、最初の修正は12.3BC |
||
|
脆弱性あり、最初の修正は12.3BC |
||
|
脆弱性なし |
||
|
12.2(10)DA4 12.2(12)DA11 |
||
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2SG) |
12.2(25)EWA14 12.2(31)SGA7 12.2(44)SG |
|
|
12.2(18)EW712.2(20)EW4 |
12.2(25)EWA14 12.2(31)SGA7 12.2(44)SG |
|
|
12.2(20)EWA312.2(25)EWA112.2(25)EWA712.2(25)EWA8 |
12.2(25)EWA14 |
|
|
12.2(35)EX |
12.2(44)EX(2008年6月26日に入手可能) |
|
|
12.2(37)EY |
||
|
脆弱性あり、最初の修正は12.2SEE |
||
|
脆弱性あり、最初の修正は12.2SEE |
||
|
脆弱性あり、最初の修正は12.2SEG |
||
|
脆弱性あり、最初の修正は12.2SE |
12.2(44)SE2 |
|
|
脆弱性あり。12.2IXDの任意のリリースに移行 |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3JA) |
||
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.2SW |
||
|
12.2(15)MC2h |
12.4(18b) |
|
|
12.2(14)S1812.2(18)S1312.2(20)S1312.2(25)S11 |
12.2(31)SB12 12.2(33)SRC1 |
|
|
12.2(28)SB412.2(31)SB212.2(31)SB3x |
12.2(31)SB12 |
|
|
脆弱性あり、最初の修正は12.2SB |
12.2(31)SB12 |
|
|
脆弱性なし |
||
|
12.2(35)SE |
12.2(44)SE2 |
|
|
脆弱性あり、最初の修正は12.2SEE |
||
|
脆弱性あり、最初の修正は12.2SEE |
||
|
脆弱性あり、最初の修正は12.2SEE |
||
|
脆弱性あり、最初の修正は12.2SEE |
||
|
12.2(25)SEE3 |
||
|
12.2(25)SEF2 |
12.2(44)SE2 |
|
|
12.2(25)SEG2 |
||
|
12.2(25)SG1 12.2(31)SG1 12.2(31)SG2 12.2(37)SG |
12.2(44)SG |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.2(29)SM2 |
12.2(29)SM3 |
|
|
12.2(18)SO7 |
12.2(29)SVD1(2008年6月13日に入手可能) |
|
|
12.2(33)SRA1 |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.2(27)SV5 12.2(28)SV1 12.2(29)SV3 12.2(29a)SV1 12.2(29b)SV |
12.2(29)SVD1(2008年6月13日に入手可能) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.2(25)SW8 |
||
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
12.2(18)SXD7a |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
12.2(18)SXE6a |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
12.2(18)SXF10a 12.2(18)SXF12a 12.2(18)SXF6 |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2S) |
12.2(31)SB12 12.2(33)SRC1 |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
12.2(8)TPC10b |
||
|
脆弱性あり、最初の修正は12.2SB |
12.2(31)SB12 |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり、最初の修正は12.3BC |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
12.2(33)XN1 |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
12.2(4)YA12 |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり。12.2SYの任意のリリースに移行 |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.2S) |
12.2(31)SB12 12.2(33)SRC1 |
|
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF15(2008年8月8日に入手可能) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり。TACにお問い合わせください |
||
|
脆弱性あり(最初の修正は12.3) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3YG) |
12.3(2)XA7 12.4(15)T5 12.4(18b) |
|
|
12.2(13)ZH9 |
12.2(13)ZH11 |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.2(18)ZU1 |
12.2(33)SXH3(2008年7月3日に入手可能) |
|
|
脆弱性なし |
||
|
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
12.3(17c) 12.3(18a) 12.3(19a) 12.3(20a) 12.3(21) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.3(17b)BC3 12.3(21)BC |
||
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性なし |
||
|
12.3(11)JA 12.3(7)JA5 12.3(8)JA3(2008年9月18日に入手可能) |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.3(2)JK2 12.3(8)JK1 |
12.3(2)JK4(2008年6月30日に入手可能) 12.3(8)JK2(2008年6月30日に入手可能) |
|
|
12.3(2)JL1 |
12.3(2)JL4 |
|
|
脆弱性あり。TACにお問い合わせください |
12.3(7)JX11 |
|
|
12.3(11)T11 |
12.4(18b) |
|
|
12.3(4)TPC11b |
||
|
脆弱性あり。TACにお問い合わせください |
||
|
12.3(2)XA6 |
12.3(2)XA7 |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.3(2)XC5 |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.3(2)XE5 |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3YG) |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
12.3(7)XI8a |
||
|
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.4) |
12.4(18b) |
|
|
12.3(7)XR7 |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.4) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.3T) |
12.4(18b) |
|
|
脆弱性あり(最初の修正は12.4) |
12.4(15)T5 12.4(18b) |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX11 12.4(15)T5 |
|
|
12.3(8)YG6 |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
12.3(11)YK3 |
12.4(15)T5 |
|
|
12.3(14)YM8 |
12.3(14)YM12 |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
12.3(11)YS2 |
12.4(15)T5 |
|
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
|
脆弱性あり、最初の修正は12.4XB |
||
|
12.3(14)YX4 |
12.3(14)YX11 |
|
|
12.3(11)YZ2 |
||
|
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
12.4(10) 12.4(3f) 12.4(5c) 12.4(7c) 12.4(8b) |
12.4(18b) |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.4MD |
脆弱性なし |
|
|
12.4MR |
12.4(9)MR |
|
|
12.4SW |
脆弱性なし |
|
|
12.4T |
12.4(11)T 12.4(2)T6 12.4(4)T5 12.4(6)T4 12.4(9)T1 |
12.4(15)T5 |
|
12.4XA |
脆弱性あり(最初の修正は12.4T) |
12.4(15)T5 |
|
12.4(2)XB3 |
||
|
12.4(4)XC5 |
||
|
12.4(4)XD4 |
12.4(15)T5 |
|
|
12.4(6)XE2 |
12.4(15)T5 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
Cisco CatOS
次の表に、修正済みのCisco Catalystオペレーティングシステム(CatOS)ソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco Catalystオペレーティングシステム(CatOS) |
6.x |
6.4(23) |
|
7.x |
7.6(19) |
|
|
8.5.x |
8.5(7) |
|
|
8.6.x |
8.6(1) |
Cisco IOS XR
修正済み Cisco IOS XR ソフトウェアの一覧を次の表に示します。
|
Cisco IOS XR のバージョン |
SMU ID |
SMU 名 |
|---|---|---|
|
3.2.2 |
AA01681 |
hfr-base-3.2.2.CSCsf30109 |
|
3.2.3 |
AA01682 |
hfr-base-3.2.3.CSCsf30109 |
|
3.2.4 |
AA01683 |
hfr-base-3.2.4.CSCsf30109 |
|
3.2.6 |
AA01684 |
hfr-base-3.2.6.CSCsf30109 |
|
3.3.0 |
AA01685 |
hfr-base-3.3.0.CSCsf30109 |
|
3.3.0 |
AA01690 |
c12k-base-3.3.0.CSCsf30109 |
|
3.3.1 |
AA01686 |
hfr-base-3.3.1.CSCsf30109 |
|
3.3.1 |
AA01688 |
c12k-base-3.3.1.CSCsf30109 |
|
3.3.2 |
脆弱性なし |
脆弱性なし |
|
3.4.x |
脆弱性なし |
脆弱性なし |
Cisco NX-OS
次の表に、修正済みのCisco NX-OSソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco NX-OS |
4.0.(1)a |
4.0.(2) 2008年6月より提供開始 |
Cisco ACE製品
次の表に、修正済みのCisco Application Control Engine(ACE)ソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco Application Control Engine(ACE)モジュール |
3.0(0) A1(6.x) A2(1.0) A2(1.0a) |
A2(1.1) |
|
Cisco Application Control Engine(ACE)アプライアンス |
A1(7.0) A1(7.0a) A1(7.0b) A1(7.0c) A1(8.0) |
A1(8.0a) |
|
Cisco Application Control Engine(ACE)XMLゲートウェイ |
4.(x) 5.x 6.0 |
6.0.1 2008年6月に提供開始 |
Cisco MDS 9000 SAN-OS
次の表に、修正済みのCisco MDS 9000 SAN-OSソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco MDS 9000 SAN-OSソフトウェア |
2.1 3.0 3.2 3.3(1a) |
3.3(1c) 3.4.1 2008年6月に提供開始 |
Cisco WLCソフトウェア
次の表に、修正済みのCisco WLCソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco WLC |
3.x 4.(x) 5.0.x 5.1.x |
5.2.x.x(2008年8月に入手可能) |
ACNS に関する文書
次の表に、修正済みのCisco ACNSソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
ACNS に関する文書 |
4.(x) 5.5.13より前の5.x |
5.5.13 2009年3月に提供開始 |
Cisco WAASソフトウェア
次の表に、修正済みのCisco WAASソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco WAASソフトウェア |
4.(x) |
4.1.3 2009年2月に提供開始 |
Cisco MGXソフトウェア
次の表に、修正済みのCisco MGXソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco MGXソフトウェア |
5.4.x 5.5.x |
5.5.10 2010年4月に提供開始 |
Cisco Internet Streamer CDSソフトウェア
次の表に、修正済みのCisco Internet Streamer CDSソフトウェアを示します。
|
該当製品 |
First Fixed Release |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
Cisco Internet Streamer CDS |
最初の修正済みリリースより前のすべてのリリース |
2.6.0 |
不正利用事例と公式発表
シスコでは、これらの脆弱性の公開に伴い、Cisco IOSとIOS以外の製品に関するこの統合アドバイザリを、通常の隔年のIOSセキュリティアドバイザリサイクルからリリースする予定です。
シスコでは、これらの脆弱性が悪用された事例は確認していません。
これらの脆弱性は、テネシー大学のDr. Tom DuniganとNet-SNMPがCERT Coordination Centerと協力してシスコに報告しました。
URL
改訂履歴
| Revision 1.9 | 2012年11月16日 | Cisco 8485DVBセットトップボックス製品を追加。 |
| Revision 1.8 | 2012年11月1日 | Cisco 8472DVBセットトップボックス製品を追加。 |
| Revision 1.7 | 2010年8月9日 | シスコインターネットに関する情報を追加 ストリーマCD。 |
| Revision 1.6 | 2010年2月22日 | 「該当製品」セクションおよび「ソフトウェアバージョンと修正」セクションで、さらに分析を行った後にPGW 2200を削除しました。 |
| Revision 1.5 | 2010年1月29日 | 「該当製品」セクションおよび「ソフトウェアバージョンと修正」セクションで、Cisco MGXとPGWを追加しました。 |
| リビジョン 1.4 | 2009年1月8日 | [該当製品(Affected Products)]セクションと[ソフトウェアバージョンおよび修正(Software Versions and Fixes)]セクションで、Cisco ACNSとWAASを追加しました。 |
| リビジョン 1.3 | 2008年7月1日 | Cisco MDSの回避策を更新。 |
| リビジョン 1.2 | 2008年6月27日 | [Software Versions and Fixes]の[MDS Software]セクションで、Cisco MDS 9000 SAN-OSソフトウェアテーブルの更新を行いました。 |
| リビジョン 1.1 | 2008年6月20日 | 「該当製品」セクションで、Cisco WLCを追加しました。「ソフトウェアバージョンと修正」セクションで、Cisco MDSソフトウェアを更新しました。 |
| リビジョン 1.0 | 2008年6月10日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。