Cisco IOSソフトウェアのレイヤ2トンネリングプロトコル(L2TP)におけるDoS脆弱性

ダウンロード オプション

  • PDF     (450.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (88.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (90.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 9 月 24 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20080924-l2tp
初公開日 : 2008-09-24 16:00
バージョン 1.1 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID : CSCsh48879
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco IOSソフトウェアのレイヤ2トンネリングプロトコル(L2TP)の実装には脆弱性が存在し、制限付きのCisco IOSソフトウェアリリースに影響します。

レイヤ2バーチャルプライベートネットワーク(L2VPN)、レイヤ2トンネルプロトコルバージョン3(L2TPv3)、Stack Group Bidding Protocol(SGBP)、およびCisco Virtual Private Dial-Up Networks(VPDN)などの複数の機能により、Cisco IOSソフトウェア内でL2TP管理デーモンプロセスが有効になります。このプロセスを有効にすると、デバイスに脆弱性が生じます。

この脆弱性により、特別に巧妙に細工されたL2TPパケットを処理する際にデバイスのリロードが発生します。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。

この脆弱性に対しては回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-l2tp で公開されています。

注:2008年9月24日のIOSアドバイザリバンドル公開には12件のSecurity Advisoryが含まれています。11件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正するリリースが記載されています。

各ドキュメントへのリンクは次のとおりです。

該当製品

該当するバージョンの12.2または12.4のCisco IOSシステムソフトウェアを実行し、脆弱性のある設定を持つすべてのデバイスが、この脆弱性の影響を受けます。

脆弱性のある製品

デバイスに脆弱性があるかどうかを確認するには、まず該当するバージョンの12.2または12.4のCisco IOSシステムソフトウェアがデバイスで実行されていることを確認します。次に、デバイスで実行されているプロセスL2TP mgmt daemonを確認します。

シスコ製品で稼働しているソフトウェアバージョンを確認するには、デバイスにログインし、show versionコマンドを発行してシステムバナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。 出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。

次の例は、Cisco IOSソフトウェアリリース12.4(11)T2を実行しているシスコ製品を示しています。

Router#show version
Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T2, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Tue 01-May-07 04:19 by prod_rel_team

Cisco IOSリリースの命名規則の追加情報は、http://www.cisco.com/warp/public/620/1.htmlにある『White Paper: Cisco IOS Reference Guide』というドキュメントに記載されています。

プロセスL2TP mgmtデーモンがデバイスで実行されているかどうかを確認するには、コマンドラインインターフェイス(CLI)にログインして、コマンドshow processes | include L2TPコマンドを使用します(注:このコマンドでは大文字と小文字が区別されます)。 出力にL2TP mgmt daemonというプロセス名の行が返される場合、そのデバイスには脆弱性が存在します。次の例は、L2TP mgmt daemonプロセスを実行しているデバイスを示しています。

Router#show processes | include L2TP
 158 Mwe 62590FE4            4          3    133322900/24000  0 L2TP mgmt daemon
Router#

L2TP管理デーモンは、L2TPプロトコルを活用するネットワークに導入される可能性のある複数の異なるタイプの設定によって起動されます。デバイスの設定内に次のコマンドのいずれかが表示された場合(show running-config)、そのデバイスはL2TP管理デーモンを起動しているため、脆弱です。

  • デバイスがバーチャルプライベートダイヤルアップネットワーク(VPDN)で設定されている。
    コマンドvpdn enableがデバイス設定に表示されます。
  • デバイスは、L2TPまたはL2TPv3 Client-Initiated VPDN Tunneling用に設定されています。
    コマンドpseudowire peer-ip-address vcid pw-class pw-class-name はデバイスの設定に表示されます。
  • デバイスにStack Group Bidding Protocol(SGBP)が設定されている。
    コマンドsgbp group group-name がデバイス設定に表示されます。
  • L2TPシグナリングテンプレートが定義されている。
    コマンドl2tp-class l2tp-class name がデバイス設定に表示されます。
  • レイヤ2トンネルプロトコルバージョン3用に設定されたデバイス
    コマンドpseudowire-class pseudowire-class name および正常に適用されたインターフェイスxconnectコマンドがデバイス設定に表示されます。

脆弱性を含んでいないことが確認された製品

  • 次のソフトウェアテーブルに脆弱性が存在することが明記されていないCisco IOSバージョンを実行しているデバイスは、この脆弱性の影響を受けません。
  • Cisco IOS XR は該当しません。
  • Cisco IOS XEは該当しません。

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

RFC2661、L2TP、およびRFC3931で文書化されているL2TPv3は、既存のネットワークを介した2つのピア間のネットワークトラフィックをトンネリングするためのプロトコルです。

該当するCisco IOSのバージョン12.2および12.4が稼働していて、L2TP mgmtデーモンプロセスが稼働しているデバイスでは、特別に巧妙に細工されたL2TPパケットの処理時にリロードが発生します。

いくつかの機能はL2TPプロトコルを活用し、Cisco IOS内でL2TP mgmtデーモンを起動します。これらの機能については、本アドバイザリの「脆弱性が存在する製品」セクションで説明しています。

この脆弱性は、Cisco Bug ID CSCsh48879(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3813が割り当てられています。

回避策

この脆弱性に対しては次の回避策が確認されています。

注: L2TPの実装では、信頼できるアドレスからインフラストラクチャアドレスまで、UDP 1701を許可する必要があります。これは、送信元アドレスがスプーフィングされる可能性があるため、完全な緩和策にはなりません。

注:L2TPv3 over IPのみの実装では、任意の場所からインフラストラクチャアドレスへのすべてのUDP 1701を拒否する必要があります。

  • インフラストラクチャ アクセス コントロール リスト
    ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャ デバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。Infrastructure Access Control Lists (iACLs) は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれる IP アドレスを持つ全ての機器を防御します:
    
!--- Permit L2TP UDP 1701 packets from all trusted
!--- sources destined to infrastructure addresses.
!--- NOTE: This does not prevent spoofed attacks.
!---           To be a full mitigation, no trusted source
!---           addresses should be listed.
!---           Omit this line if using a L2TPv3 over IP implementation only.


access-list 150 permit udp TRUSTED_SOURCE_ADDRESSES MASK  
   INFRASTRUCTURE_ADDRESSES MASK eq 1701


!--- Deny L2TP UDP 1701 packets from all
!--- sources destined to infrastructure addresses.


access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 1701


!--- If using a L2TPv3 over IP implementation ensure to allow L2TPv3


access-list 150 permit 115 <source_ip_address and mask> 
   <destination_ip_address and mask>


!--- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!--- with existing security policies and configurations
!--- Permit all other traffic to transit the device.


access-list 150 permit ip any any


!--- Apply access-list to all interfaces (only one example shown)


interface serial 2/0
ip access-group 150 in
    ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このWhite Paperは、次のリンク先で入手できます。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

  • コントロール プレーン ポリシング
    コントロールプレーンポリシング(CoPP)を使用して、デバイスへのL2TPアクセスをブロックできます。Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T は、CoPP 機能をサポートしています。管理およびコントロールプレーンを保護するために CoPP を機器に設定し、既存のセキュリティーポリシーとコンフィギュレーションに従って認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。下記の CoPP の例はインフラストラクチャ IP アドレスの範囲内にある IP アドレスを持つ全ての機器を保護するために定義される CoPP の一部として含まれるべき項目です: 
    
!--- Deny all trusted source L2TP UDP traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so that it
!--- will not be policed by the CoPP feature.

!--- NOTE: This does not prevent spoofed attacks.
!---           To be a full mitigation, no trusted source
!---           addresses should be listed.
!---           Omit this line if using an L2TPv3 over IP implementation only.


access-list 111 deny udp TRUSTED_SOURCE_ADDRESSES MASK  
   INFRASTRUCTURE_ADDRESSES MASK eq 1701


!--- Permit all L2TP UDP traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so that it
!--- will be policed and dropped by the CoPP feature


access-list 111 permit udp any INFRASTRUCTURE_ADDRESSES MASK eq 1701


!--- If using an L2TPv3 over IP implementation ensure not to drop L2TPv3


access-list 111 deny 115 <source_ip_address and mask> 
   <destination_ip_address and mask>  


!--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!--- traffic in accordance with existing security policies and
!--- configurations for traffic that is authorized to be sent
!--- to infrastructure devices

!--- Create a Class-Map for traffic to be policed by
!--- the CoPP feature



class-map match-all drop-l2tp-class
match access-group 111



!--- Create a Policy-Map that will be applied to the
!--- Control-Plane of the device.



policy-map drop-l2tp-traffic
class drop-l2tp-class
drop



!--- Apply the Policy-Map to the 
!--- Control-Plane of the device


control-plane

service-policy input drop-l2tp-traffic
    上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ (ACE) に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、policy-map の "drop" 機能の影響を受けません。policy-map の構文は、12.2S と 12.0S Cisco IOS トレインでは異なるので注意が必要です:
    policy-map drop-l2tp-traffic
class drop-l2tp-class
police 32000 1500 1500 conform-action drop exceed-action drop
    CoPP機能の設定と使用方法の詳細については、次のリンク先を参照してください。http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html

ネットワーク内のCiscoデバイスに適用可能な他の対応策は、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080924-l2tp)を参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

メジャー リリース

修正済みリリースの入手可能性

Affected 12.0-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.0 ベースのリリースはありません。

Affected 12.1-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.1 ベースのリリースはありません。

Affected 12.2-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

12.2

脆弱性なし

  

12.2B

脆弱性なし

  

12.2BC

脆弱性なし

  

12.2BW

脆弱性なし

  

12.2BX

脆弱性なし

  

12.2BY

脆弱性なし

  

12.2BZ

脆弱性なし

  

12.2CX

脆弱性なし

  

12.2CY

脆弱性なし

  

12.2CZ

脆弱性なし

  

12.2DA

脆弱性なし

  

12.2DD

脆弱性なし

  

12.2DX

脆弱性なし

  

12.2EW

脆弱性なし

  

12.2EWA

脆弱性なし

  

12.2EX

脆弱性なし

  

12.2EY

脆弱性なし

  

12.2EZ

脆弱性なし

  

12.2FX

脆弱性なし

  

12.2FY

脆弱性なし

  

12.2FZ

脆弱性なし

  

12.2IRB

脆弱性なし

  

12.2IXA

脆弱性なし

  

12.2IXB

脆弱性なし

  

12.2IXC

脆弱性なし

  

12.2IXD

脆弱性なし

  

12.2IXE

脆弱性なし

  

12.2IXF

脆弱性なし

  

12.2IXG

脆弱性なし

  

12.2JA

脆弱性なし

  

12.2JK

脆弱性なし

  

12.2MB

脆弱性なし

  

12.2MC

脆弱性なし

  

12.2S

脆弱性なし

  

12.2SB

脆弱性なし

  

12.2SBC

脆弱性なし

  

12.2SCA

脆弱性なし

  

12.2SE

注:12.2(37)SEより前のリリースには脆弱性はありません。最初の修正は12.2(44)SE

12.2(46)SE

12.2SEA

脆弱性なし

  

12.2SEB

脆弱性なし

  

12.2SEC

脆弱性なし

  

12.2SED

脆弱性なし

  

12.2SEE

脆弱性なし

  

12.2SEF

脆弱性なし

  

12.2SEG

脆弱性なし

  

12.2SG

注:12.2(37)SGより前のリリースには脆弱性はありません。最初の修正は12.2(44)SG

12.2(46)SG1

12.2SGA

脆弱性なし

  

12.2SL

脆弱性なし

  

12.2SM

脆弱性なし

  

12.2SO

脆弱性なし

  

12.2SRA

脆弱性なし

  

12.2SRB

12.2(33)SRB1

12.2(33)SRB4

12.2SRC

脆弱性なし

  

12.2SU

脆弱性なし

  

12.2SV

脆弱性なし

  

12.2SVA

脆弱性なし

  

12.2SVC

脆弱性なし

  

12.2SVD

脆弱性なし

  

12.2SW

脆弱性なし

  

12.2SX

脆弱性なし

  

12.2SXA

脆弱性なし

  

12.2SXB

脆弱性なし

  

12.2SXD

脆弱性なし

  

12.2SXE

脆弱性なし

  

12.2SXF

脆弱性なし

  

12.2SXH

脆弱性なし

  

12.2SY

脆弱性なし

  

12.2SZ

脆弱性なし

  

12.2T

脆弱性なし

  

12.2TPC

脆弱性なし

  

12.2XA

脆弱性なし

  

12.2XB

脆弱性なし

  

12.2XC

脆弱性なし

  

12.2XD

脆弱性なし

  

12.2XE

脆弱性なし

  

12.2XF

脆弱性なし

  

12.2XG

脆弱性なし

  

12.2XH

脆弱性なし

  

12.2XI

脆弱性なし

  

12.2XJ

脆弱性なし

  

12.2XK

脆弱性なし

  

12.2XL

脆弱性なし

  

12.2XM

脆弱性なし

  

12.2XN

脆弱性なし

  

12.2XNA

脆弱性なし

  

12.2XNB

脆弱性なし

  

12.2XO

脆弱性なし

  

12.2XQ

脆弱性なし

  

12.2XR

脆弱性なし

  

12.2XS

脆弱性なし

  

12.2XT

脆弱性なし

  

12.2XU

脆弱性なし

  

12.2XV

脆弱性なし

  

12.2XW

脆弱性なし

  

12.2YA

脆弱性なし

  

12.2YB

脆弱性なし

  

12.2YC

脆弱性なし

  

12.2YD

脆弱性なし

  

12.2YE

脆弱性なし

  

12.2YF

脆弱性なし

  

12.2YG

脆弱性なし

  

12.2YH

脆弱性なし

  

12.2YJ

脆弱性なし

  

12.2YK

脆弱性なし

  

12.2YL

脆弱性なし

  

12.2YM

脆弱性なし

  

12.2YN

脆弱性なし

  

12.2YO

脆弱性なし

  

12.2YP

脆弱性なし

  

12.2YQ

脆弱性なし

  

12.2YR

脆弱性なし

  

12.2YS

脆弱性なし

  

12.2YT

脆弱性なし

  

12.2YU

脆弱性なし

  

12.2YV

脆弱性なし

  

12.2YW

脆弱性なし

  

12.2YX

脆弱性なし

  

12.2YY

脆弱性なし

  

12.2YZ

脆弱性なし

  

12.2ZA

脆弱性なし

  

12.2ZB

脆弱性なし

  

12.2ZC

脆弱性なし

  

12.2ZD

脆弱性なし

  

12.2ZE

脆弱性なし

  

12.2ZF

脆弱性なし

  

12.2ZG

脆弱性なし

  

12.2ZH

脆弱性なし

  

12.2ZJ

脆弱性なし

  

12.2ZL

脆弱性なし

  

12.2ZP

脆弱性なし

  

12.2ZU

脆弱性なし

  

12.2ZX

脆弱性なし

  

12.2ZY

脆弱性なし

  

12.2ZYA

脆弱性なし

  

Affected 12.3-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.3 ベースのリリースはありません。

Affected 12.4-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

12.4

脆弱性なし

  

12.4JA

脆弱性なし

  

12.4JK

脆弱性なし

  

12.4JL

脆弱性なし

  

12.4JMA

脆弱性なし

  

12.4JMB

脆弱性なし

  

12.4JMC

脆弱性なし

  

12.4JX

脆弱性なし

  

12.4MD

脆弱性なし

  

12.4MR

注:12.4(11)MRより前のリリースには脆弱性はありません。最初の修正は12.4(16)MR

12.4(19)MR

12.4SW

12.4(11)SW3

12.4(15)SW2(2008年9月28日に入手可能)

12.4T

注:12.4(11)Tより前のリリースには脆弱性はありません。最初の修正は12.4(15)T

12.4(15)T7

12.4XA

脆弱性なし

  

12.4XB

脆弱性なし

  

12.4XC

脆弱性なし

  

12.4XD

脆弱性なし

  

12.4XE

脆弱性なし

  

12.4XF

脆弱性なし

  

12.4XG

脆弱性なし

  

12.4XJ

脆弱性あり(最初の修正は12.4T)

12.4(15)T7

12.4XK

脆弱性なし

  

12.4XL

脆弱性なし

  

12.4XM

脆弱性なし

  

12.4XN

脆弱性なし

  

12.4XP

脆弱性なし

  

12.4XQ

脆弱性なし

  

12.4XT

脆弱性なし

  

12.4XV

脆弱性あり。TACに連絡

  

12.4XW

12.4(11)XW1

12.4(11)XW9

12.4XY

脆弱性なし

  

12.4XZ

脆弱性なし

  

12.4YA

脆弱性なし

  

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、シスコの社内テストで発見されました。

URL

改訂履歴

リビジョン 1.1

2009年4月16日

現在は古くなっているため、結合されたソフトウェアテーブルへの参照を削除

リビジョン 1.0

2008年9月24日

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。