Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSバージョン12.0S、12.2、12.3、または12.4が稼働し、マルチプロトコルラベルスイッチング(MPLS)バーチャルプライベートネットワーク(VPN)またはVPN Routing and Forwarding Lite(VRF Lite)用に設定され、カスタマーエッジ(CE)デバイスとプロバイダーエッジ(PE)デバイス間でボーダーゲートウェイプロトコル(BGP)を使用しているデバイスは、VPN間での情報の伝搬を許可するする場合があります。
この脆弱性の軽減に役立つ回避策があります。
この問題は、PEデバイスで拡張コミュニティを処理する際の論理エラーによって引き起こされます。
この問題は、攻撃者によって決定的に不正利用されることはありません。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-vpn で公開されています。
2008年9月24日のIOSアドバイザリバンドル公開には12件のSecurity Advisoryが含まれています。11件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正するリリースが記載されています。
各ドキュメントへのリンクは次のとおりです。
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosips
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ssl
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sip
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-cucm
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-mfi
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ipc
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ubr
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-multicast
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sccp
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosfw
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-l2tp
該当製品
Cisco IOSバージョン12.0S、12.2、12.3、または12.4が稼働し、MPLS VPNまたはVRF Liteが設定されている製品が影響を受ける可能性があります。
12.1ベースのCisco IOSリリースは影響を受けません。
脆弱性のある製品
Cisco IOSデバイスは、MPLS VPNまたはVRF Liteが設定されており、CEデバイスとPEデバイス間にBGPセッションがあり、拡張コミュニティを処理している場合に脆弱です。デバイスがMPLS VPNまたはVRF Lite用に設定されている場合、デバイス設定にコマンドaddress-family ipv4 vrf <vrf-name>またはaddress-family ipv6 vrf <vrf-name>が含まれます。
次に、MPLS VPN用に設定されたデバイスで実行されるコマンドを示します。
router#show running-config | include address-family [ipv4|ipv6] address-family ipv4 vrf <vrf-name>
次に、PEとCEの間のIPv4 BGPセッション用に設定されたPEデバイスを示します。
router bgp <Local AS> address-family ipv4 vrf one neighborremote-as < Remote AS> neighbor activate
シスコ製品で実行されているソフトウェアを確認するには、デバイスにログインし、「show version」コマンドを発行してシステムバナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。他のシスコデバイスには「show version」コマンドがないか、異なる出力が表示されます。
次の例は、Cisco IOSリリース12.4(11)T2を実行しているシスコ製品を示しています。
Router#show version Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T2, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 01-May-07 04:19 by prod_rel_team <output truncated>
Cisco IOSリリースの命名規則の追加情報は、http://www.cisco.com/web/about/security/intelligence/ios-ref.htmlにある『White Paper: Cisco IOS Reference Guide』というドキュメントに記載されています。
脆弱性を含んでいないことが確認された製品
MPLS VPNまたはVRF Liteが設定されていないシスコ製品は、この脆弱性の影響を受けません。
IOSを実行しないCisco製品は、この脆弱性の影響を受けません。
Cisco IOS-XRは該当しません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
MPLS VPNは、お客様がトラフィックを複数の分離されたVPNに分離するために使用できる「仮想ネットワーク」の作成を可能にします。各MPLS VPN内のトラフィックは他のトラフィックから分離されるため、バーチャルプライベートネットワークが維持されます。
MPLSおよびMPLS VPNの詳細については、次のリンクを参照してください。
http://www.cisco.com/en/US/products/ps6557/products_ios_technology_home.html
MPLS VPNを使用して拡張コミュニティを処理すると、不具合が発生します。拡張コミュニティが使用されている場合、MPLS VPNは破損したルートターゲット(RT)を誤って使用してトラフィックを転送する可能性があります。これが発生した場合、トラフィックは1つのMPLS VPNから別のMPLS VPNにリークする可能性があります。
この脆弱性は、該当するPEデバイスでMPLS VPN Virtual Routing and Forwarding(VRF)でBGPセッションが実行されている場合に常に存在します。次の2つの例は、最も一般的なシナリオです。
1) PEデバイスとCEデバイス間のVRF内で実行されているBGPを使用したMPLS VPN設定。
2)自律システムボーダルータ(ASBR)間でBGPを実行するMPLS Inter-ASオプションA。
「回避策」セクションの緩和策により、PEデバイス上の拡張コミュニティがフィルタリングされ、MPLS VPN用に設定されたデバイスがこれらのコミュニティを受信できなくなります。
この脆弱性は、Cisco Bug ID CSCee83237で導入されました。CSCee83237を含まないCisco IOSイメージには、この問題の脆弱性はありません。
この状態は攻撃者によってトリガーされるものではなく、VPN間のトラフィックフローを決定する手段を提供するものではないことに注意することが重要です。
この脆弱性は、Cisco Bug ID CSCec12299(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3803が割り当てられています。
回避策
拡張コミュニティのフィルタリングをサポートするバージョンのCisco IOSを実行しているお客様は、着信BGPセッションでRTエントリを削除するBGPルートマップを適用することで、ルートターゲット(RT)の破損を防止できます。
次の設定例は、PEデバイスのipv4アドレスファミリに適用され、CEルータから拡張コミュニティを削除します。
router bgp <Local AS> address-family ipv4 vrf one neighbor <neighbor IP> remote-as <Remote AS> neighbor <neighbor IP> activate neighbor <neighbor IP> route-map FILTER in exit-address-family ! ip extcommunity-list 100 permit _RT.*_ ! ! route-map FILTER permit 10 set extcomm-list 100 delete !
次の設定例は、PEデバイスのipv6アドレスファミリに適用され、CEルータから拡張コミュニティを削除します。
router bgp <Local AS> address-family ipv6 vrf one neighbor <neighbor IP> remote-as <Remote AS> neighbor <neighbor IP> activate neighbor <neighbor IP> route-map FILTER in exit-address-family ! ip extcommunity-list 100 permit _RT.*_ ! ! route-map FILTER permit 10 set extcomm-list 100 delete !
注:拡張コミュニティのフィルタリング機能は、特定の12.0Sおよび12.2SベースのCisco IOSリリースでのみ使用できます。
この設定変更を有効にするには、PEとCEの間のBGPセッションをクリアする必要があります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
メジャー リリース |
修正済みリリースの入手可能性 |
|
---|---|---|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.0(30)S5 12.0(31)S3 12.0(32)S |
12.0(32)S11 12.0(33)S1 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.0S) |
12.0(32)S11 12.0(33)S1 |
|
脆弱性なし |
||
12.0(30)SZ4 |
12.0(32)S11 12.0(33)S1 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する 12.1 ベースのリリースはありません。 |
||
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。12.2IXDの任意のリリースに移行 |
12.2(18)IXG |
|
脆弱性あり。12.2IXDの任意のリリースに移行 |
12.2(18)IXG |
|
脆弱性あり。12.2IXDの任意のリリースに移行 |
12.2(18)IXG |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(30)S以降に脆弱性が存在します。12.2(25)S以前には脆弱性はありません |
12.2(33)SB2(2008年9月26日に入手可能) |
|
12.2(28)SB5 12.2(31)SB2 12.2(31)SB3x |
12.2(33)SB2(2008年9月26日に入手可能) |
|
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB2(2008年9月26日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(37)SG |
12.2(46)SG1 |
|
12.2(31)SGA8 |
12.2(31)SGA8 |
|
脆弱性なし |
||
12.2(29)SM2 |
12.2(29)SM4 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.2(29b)SV1 |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF15 |
|
12.2(18)SXF3 |
12.2(18)SXF15 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB2(2008年9月26日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(15)T7 12.4(18c) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4) |
12.4(15)T7 12.4(18c) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.3YX) |
12.3(14)YX13 12.4(15)T7 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4T) |
12.4(15)T7 |
|
12.3(11)YK3 |
12.4(15)T7 |
|
12.3(14)YM10 |
12.3(14)YM13(2008年9月30日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T7 |
|
12.3(11)YS2 |
12.4(15)T7 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T7 |
|
脆弱性あり(最初の修正は12.4XB) |
12.4(2)XB10 12.4(9)XG3 12.4(15)T7 |
|
12.3(14)YX7 |
12.3(14)YX13 |
|
12.3(11)YZ2 |
||
脆弱性なし |
||
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
12.4(10c) 12.4(12a) 12.4(13) 12.4(3h) 12.4(5c) 12.4(7e) 12.4(8d) |
12.4(18c) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.4(11)SW1 |
12.4(15)SW2(2008年9月28日に入手可能) |
|
12.4(11)T2 12.4(15)T 12.4(2)T6 12.4(4)T8 12.4(6)T7 12.4(9)T3 |
12.4(15)T7 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T7 |
|
12.4(2)XB6 |
12.4(2)XB10 |
|
12.4(4)XC7 |
12.4(15)T7 |
|
12.4(4)XD7 |
12.4(4)XD11(2008年9月26日に入手可能) |
|
12.4(6)XE3 |
12.4(15)T7 |
|
脆弱性なし |
||
12.4(9)XG2 |
12.4(9)XG3 |
|
12.4(11)XJ2 |
12.4(15)T7 |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T7 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり。TACに連絡 |
||
脆弱性なし |
||
脆弱性なし |
||
12.4(6)XT1 |
12.4(15)T7 |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、お客様からシスコに報告されたものです。
この脆弱性は、攻撃者によって確実にトリガーされるものではありません。
URL
改訂履歴
リビジョン 1.2 |
2009年4月16日 |
現在は古くなっているため、結合されたソフトウェアテーブルへの参照を削除しました。 |
リビジョン 1.1 |
2008年11月19日 |
「回避策」セクションの設定例を更新。 |
リビジョン 1.0 |
2008年9月24日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。