日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Wireless LAN Controller(WLC)製品ファミリは、サービス拒否(DoS)の脆弱性の影響を受けます。この脆弱性では、認証されていない攻撃者が一連のICMPパケットを送信することでデバイスのリロードを引き起こす可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
この脆弱性を軽減する回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110427-wlc で公開されています。該当製品
脆弱性のある製品
この脆弱性は、Cisco WLCソフトウェアバージョン6.0以降に影響します。次の製品は、このセキュリティアドバイザリに記載されている脆弱性の影響を受けます。
- Cisco 2100 シリーズ ワイアレス LAN コントローラ
- Cisco WLC526 Mobility Expressコントローラ(AIR-WLC526-K9)
- サービス統合型ルータ(ISR)用Cisco NME-AIR-WLCモジュール
- サービス統合型ルータ(ISR)用Cisco NM-AIR-WLCモジュール
注:Cisco NM-AIR-WLCは、サポート終了およびソフトウェアメンテナンス終了となっています。詳細については、次のドキュメントを参照してください。http://www.cisco.com/en/US/prod/collateral/modules/ps2797/prod_end-of-life_notice0900aecd806aeb34.html
ソフトウェアバージョンの確認
管理者は、Webまたはコマンドラインインターフェイス(CLI)を使用するか、Cisco WiSM(Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータのコマンドを使用)で、Cisco WLCで実行されているソフトウェアバージョンを確認できます。
Ciscoワイヤレスコントローラ
特定の環境で実行されているWLCのバージョンを確認するには、次のいずれかの方法を使用します。
- WebインターフェイスでMonitorタブを選択し、左側のペインでSummaryをクリックして、Software Versionフィールドを確認します。
注:ISRでCisco WLCモジュールを使用している場合は、コマンドラインで次の手順を実行する前に、service-module wlan-controller <slot/port> sessionコマンドを発行する必要があります。統合WLCモジュールを搭載したCisco Catalyst 3750Gスイッチを使用している場合は、コマンドラインで次のステップを実行する前に、session <Stack-Member-Number> processor 1 sessionコマンドを発行する必要があります。
- コマンドラインインターフェイスでshow sysinfoと入力し、次の例に示すようにProduct Versionフィールドに注目します。
(Cisco Controller)> show sysinfo Manufacturer's Name.. Cisco Systems Inc. Product Name......... Cisco Controller Product Version...... 5.1.151.0 RTOS Version......... Linux-2.6.10_mvl401 Bootloader Version... 4.0.207.0 Build Type........... DATA + WPS <output suppressed>
シスコのWiSM
WiSMがインストールされているCisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータでshow wism module <module number> controller 1 statusコマンドを使用します。バージョン5.1.151.0を示す次の例に示すように、ソフトウェアバージョンに注意してください。
Router# show wism module 3 controller 1 status WiSM Controller 1 in Slot 3 Operational Status of the Controller : Oper-Up Service VLAN : 192 Service Port : 10 Service Port Mac Address : 0011.92ff.8742 Service IP Address : 192.168.10.1 Management IP Address : 192.168.1.123 Software Version : 5.1.151.0 Port Channel Number : 288 Allowed vlan list : 30,40 Native VLAN ID : 40 WCP Keep Alive Missed : 0
脆弱性を含んでいないことが確認された製品
- Cisco 2000 シリーズ WLC
- Cisco 2500 シリーズ WLC
- Cisco 4100 シリーズ WLC
- Cisco 4400 シリーズ WLC
- Cisco Catalyst 3750Gシリーズ統合型WLC
- Cisco 5500 シリーズ WLC
- Cisco Wireless Services Module(WiSM、WiSMとWiSM2の両方)
- Cisco Wireless Services Ready Engine(SRE)モジュール
- Cisco Flex 7500シリーズCloud Controller
詳細
Cisco WLCとCisco WiSMは、セキュリティポリシー、侵入防御、RF管理、Quality of Service(QoS)、モビリティなど、システム全体のワイヤレスLAN機能を担います。
これらのデバイスは、Lightweight Access Point Protocol(LWAPP)およびControl and Provisioning of Wireless Access Points(CAPWAP)プロトコルを使用して、レイヤ2(イーサネット)またはレイヤ3(IP)インフラストラクチャ上のコントローラベースのアクセスポイントと通信します。
Cisco WLCデバイスファミリは、認証されていない攻撃者が一連のICMPパケットを送信してデバイスをリロードさせる可能性のあるDoS脆弱性の影響を受けます。この脆弱性は、有線セグメントと無線セグメントの両方から不正利用される可能性があります。
この脆弱性は、Cisco Bug ID CSCth74426(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-1613が割り当てられています。回避策
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。
影響を受けるリリース |
First Fixed Release(修正された最初のリリース) |
4.0 |
脆弱性なし |
4.1 |
脆弱性なし |
4.1 M |
脆弱性なし |
4.2 |
脆弱性なし |
420万 |
脆弱性なし |
5.0 |
脆弱性なし |
5.1 |
脆弱性なし |
5.2 |
脆弱性なし |
6.0 |
6.0.200.0 |
7.0 |
7.0.98.216 および 7.0.112.0 |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は内部テストで発見されました。
URL
改訂履歴
リビジョン 1.0 |
2011年4月27日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。