| ライター翻訳版 - September 24, 2008 |
| 英語版 |
| Document ID: 107617 |
Advisory ID: cisco-sa-20080924-sip
http://www.cisco.com/warp/public/707/cisco-sa-20080924-sip.shtml
本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳 であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision 1.0
For Public Release 2008 September 24 1600 UTC (GMT)
要約
Cisco IOSのSession Initiation Protocol (SIP)の実装に、メモリリークまたはIOSデバイスのリロードを引き起こし、リモートから不正利用される恐れのある複数の脆弱性が存在します。
Ciscoはこれらの脆弱性に対応するために、無償のソフトウェアアップデートをリリースしました。"ソフトウェア・バージョン及び修正" セクションに掲載されている修正済みのCisco IOSソフトウェアは、このアドバイザリで紹介されているすべての脆弱性に関する修正が含まれています。
管理者がCisco IOSデバイスにてVoice over IPサービスを提供する必要がない場合にプロトコルや機能自身を無効にすること以外、いずれの脆弱性についても影響を緩和する有効な回避策は存在しません。
このアドバイザリは以下に掲載されます: http://www.cisco.com/JP/support/public/ht/security/102/1021562/cisco-sa-20080924-sip-j.shtml
注: 2008年9月24日の IOSアドバイザリバンドル公開には12のSecurity Advisoryが含まれています。 そのうちの11のアドバイザリーはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処するもので、1つのアドバイザリはCisco Unified Communications Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。 2008年9月24日に公開されたすべてのIOSソフトウェアアドバイザリに対応したリリースについては、次のソフトウェアテーブルテーブルを参照してください。:
http://www.cisco.com/JP/support/public/ht/security/102/1021572/cisco-sa-20080924-bundle-j.shtml 個々の公開リンクは下記にリストされます:- http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml (英語版)
- http://www.cisco.com/JP/support/public/ht/security/102/1021561/cisco-sa-20080924-iosips-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021567/cisco-sa-20080924-ssl-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021563/cisco-sa-20080924-ipc-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021565/cisco-sa-20080924-mfi-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021568/cisco-sa-20080924-ubr-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021585/cisco-sa-20080924-sccp-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021590/cisco-sa-20080924-multicast-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021562/cisco-sa-20080924-iosfw-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021564/cisco-sa-20080924-l2tp-j.shtml
該当製品
これらの脆弱性は、SIPによる音声サービスを有効にしているCisco IOSデバイスのみが影響を受けます。
脆弱性のある製品
影響を受けるCisco IOSバージョンが動作しているデバイス上でSIPメッセージを処理する可能性がある場合に、本脆弱性の影響を受けます。この脆弱性に該当する唯一の要件は、Cisco IOSデバイスがVoice over IP (VoIP)機能の一部としてSIPメッセージを処理することです(NATおよびファイアウォール機能の一部としてSIPメッセージを処理している場合は、影響を受けません)。 Cisco IOSの最近のバージョンはSIPメッセージをデフォルトで処理しませんが、dial-peer voiceコマンドにより「ダイヤル・ピア」を作成することでSIPプロセスが開始され、Cisco IOSはSIPメッセージの処理を開始します。 影響を受ける設定例は次の通りです:
dial-peer voice <Voice dial-peer tag> voip ... !
Cisco IOSの古いバージョンにおいては、不具合の影響を受け、SIPの設定を行っていない場合にもSIPのプロセスが動作することにご注意下さい。 Cisco バグCSCsb25337 (登録ユーザのみ) の詳細の情報については http://www.cisco.com/warp/public/707/cisco-sa-20070131-sip.shtml を参照してください。
Cisco IOSデバイスがSIPメッセージを処理していることをdial-peerコマンドの設定により判断できるのに加えて、管理者はいくつかのshowコマンドを使用して、Cisco IOSデバイスがSIPメッセージの処理を行うプロセスが実行しているかどうか、またはSIPポートのリスニングを行っているかどうかを判断することができます。
show processes | include SIPコマンドにより、Cisco IOSがSIPメッセージを処理するプロセスを実行しているかどうか判断することができます。次の例では、CCSIP_UDP_SOCKETおよびCCSIP_TCP_SOCKETのプロセスが存在していることから、Cisco IOSデバイスがSIPメッセージの処理を行っていることを示しています:
Router#show processes | include SIP 147 Mwe 40F46DF4 12 2 600023468/24000 0 CCSIP_SPI_CONTRO 148 Mwe 40F21244 0 1 0 5524/6000 0 CCSIP_DNS 149 Mwe 40F48254 4 1 400023108/24000 0 CCSIP_UDP_SOCKET 150 Mwe 40F48034 4 1 400023388/24000 0 CCSIP_TCP_SOCKET
Cisco IOSデバイスがSIPメッセージのポートのリスニングを行っているを確認する方法は、Cisco IOSのバージョンにより異なります。 全てコマンドが全てのIOSリリースにて使用できるわけではありませんが、show ip sockets, show udp, show tcp brief all および show control-plane host open-portsコマンドによって判断することも可能です。このドキュメントにおいては、各リリースに対応したコマンドのリストを提供していないため、ユーザは前述のコマンドの中から動作するものを使用して確認してください。 以下は、ルータがポート5060 (SIPポート)をリスニングしている一例です:
router#show control-plane host open-ports Active internet connections (servers and established) Prot Local Address Foreign Address Service State <output removed for brevity> tcp *:5060 *:0 SIP LISTEN <outoput removed for brevity> udp *:5060 *:0 SIP LISTEN
Cisco IOS製品上で動作しているソフトウェアバージョンを確認するためには、デバイスにログイン後show versionコマンドを実行してシステムバナーを表示させます。Cisco IOSソフトウェアの場合、"Internetwork Operating System Software"または単純に"IOS"と表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、続いて"Version"とCisco IOSリリース名が表示されます。他のCisco機器ではshow versionコマンドがない場合や、異なる表示をする場合があります。
次の例はIOSイメージを実行するデバイスでの出力を示したものです:
router>show version Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(6)T2, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Tue 16-May-06 16:09 by kellythw <more output removed for brevity>
Cisco IOSリリースの命名規則に関するその他の情報は、以下のリンクの "White Paper: Cisco IOS Reference Guide"で確認できます: http://www.cisco.com/warp/public/620/1.html
Cisco Unified Communications Manager においても本脆弱性のいくつかの影響を受け、、それらは異なるCiscoバグIDによってトラッキングされています。Cisco Unified Communications Managerの関連するセキュリティアドバイザリは、次のリンクから確認できます: http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml
脆弱性が存在しない製品
IOSネットワークアドレス変換(NAT)によって使用される SIPアプリケーションレイヤゲートウェイ(ALG)、およびCisco IOSのファイアウォール機能はこれらの脆弱性の影響は受けません。
Cisco IOS XRを実行しているCiscoデバイスは影響を受けません。
Cisco Unified Communications Managerを除いて、本脆弱性の影響を受ける機器は現時点では確認されていません。
詳細
SIPはインターネットなどのIP ネットワーク上で音声やビデオを制御するために使用される、よく知られたシグナリングプロトコルです。 SIPプロトコルは、コールの開始および終了の全ての処理を行う役割があります。SIPが処理を行うプロトコルとして、音声およびビデオが最も知られていますが、コールの開始および終了を必要とする他のアプリケーションに対しても柔軟に対応するプロトコルです。 SIP コール シグナリングは, 転送プロトコルとして UDP (ポート5060)、TCP (ポート5060)、またはTLS (TCPポート5061)を使用します。
複数のサービス拒絶の脆弱性がCisco IOSのSIPの実装に存在します。 いずれの場合も、脆弱性は特定の正常なSIPメッセージを処理することによって引き起こされます。
メモリリークの脆弱性
CSCse56800(登録ユーザのみ)は、影響を受けるデバイスにおいてメモリリークの原因となります。 メモリリークは特定のタイプの正常なSIPメッセージの処理によって引き起こされ、Cisco IOSデバイスが動作していたとしても結果的に音声サービスの動作を停止させる可能性があります。 この脆弱性には Common Vulnerabilities and Exposures (CVE) ID CVE-2008-3799が割り当てられています。
デバイスのリロード脆弱性
次の脆弱性は、いくつかの特定の正常なSIPメッセージを処理する事によって、Cisco IOS デバイスのリロードを引き起こす可能性があります:
-
CSCsg91306 (登録ユーザのみ) CVE ID CVE-2008-3800として登録
-
CSCsl62609 (登録ユーザのみ) CVE ID CVE-2008-3801として登録
-
CSCsk42759 (登録ユーザのみ) CVE ID CVE-2008-3802として登録
脆弱性スコア詳細
シスコは Common Vulnerability Scoring System(CVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。
CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。 シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。 お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。 シスコは以下の URLにてCVSSに関するFAQを提供しています。 http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。 http://intellishield.cisco.com/security/alertmanager/cvss| CSCse56800 Calculate the environmental score of CSCse56800 | ||||||
|---|---|---|---|---|---|---|
| CVSS Base Score - 7.8 | ||||||
| Access Vector | Access Complexity | Authentication | Confidentiality Impact | Integrity Impact | Availability Impact | |
| Network | Low | None | None | None | Complete | |
| CVSS Temporal Score - 6.4 | ||||||
| Exploitability | Remediation Level | Report Confidence | ||||
| Functional | Official-Fix | Confirmed | ||||
| CSCsg91306、CSCsk42759、CSCsl62609 Calculate the environmental score of CSCsg91306/CSCsk42759/CSCsl62609 | ||||||
|---|---|---|---|---|---|---|
| CVSS Base Score - 7.8 | ||||||
| Access Vector | Access Complexity | Authentication | Confidentiality Impact | Integrity Impact | Availability Impact | |
| Network | Low | None | None | None | Complete | |
| CVSS Temporal Score - 6.4 | ||||||
| Exploitability | Remediation Level | Report Confidence | ||||
| Functional | Official-Fix | Confirmed | ||||
影響
この資料に記載された脆弱性の不正利用に成功すると、結果としてデバイスのリロードが発生します。 この不正利用が継続的に実行されると、サービス拒絶(DoS)状態となる可能性があります。
ソフトウエアバージョン及び修正
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。 Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。|
Major Release |
Availability of Repaired Releases |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.0 based releases |
||
|
Affected 12.1-Based Releases |
First Fixed Release |
Recommended Release |
|
There are no affected 12.1 based releases |
||
|
Affected 12.2-Based Releases |
First Fixed Release |
Recommended Release |
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.2(33)SB2; Available on 26-SEP-08 12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; migrate to any release in 12.2S |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Releases prior to 12.2(15)MC2c are vulnerable, release 12.2(15)MC2c and later are not vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Releases prior to 12.2(11)YV1 are vulnerable, release 12.2(11)YV1 and later are not vulnerable; |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Affected 12.3-Based Releases |
First Fixed Release |
Recommended Release |
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Vulnerable; contact TAC |
||
|
Releases prior to 12.3(2)XA7 are vulnerable, release 12.3(2)XA7 and later are not vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; contact TAC |
||
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; migrate to any release in 12.2SB |
12.2(33)SB2; Available on 26-SEP-08 |
|
|
Vulnerable; first fixed in 12.3YX |
12.3(14)YX13 12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.3YX |
12.3(14)YX13 12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Vulnerable; first fixed in 12.4 |
12.4(15)T7 12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.3YX |
12.3(14)YX13 12.4(15)T7 |
|
|
12.3(8)YG7; Available on 01-OCT-08 |
12.4(15)T7 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Releases prior to 12.3(11)YK3 are vulnerable, release 12.3(11)YK3 and later are not vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
12.3(14)YM13; Available on 30-SEP-08 |
12.3(14)YM13; Available on 30-SEP-08 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4XB |
12.4(2)XB10 12.4(9)XG3 12.4(15)T7 |
|
|
12.3(14)YX12 |
12.3(14)YX13 |
|
|
12.3(11)YZ3 |
||
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Affected 12.4-Based Releases |
First Fixed Release |
Recommended Release |
|
12.4(13f) 12.4(17b) 12.4(18) |
12.4(18c) |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
12.4(19)MR |
12.4(19)MR |
|
|
Not Vulnerable |
||
|
12.4(15)T4 12.4(20)T 12.4(6)T11 |
12.4(15)T7 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
12.4(2)XB10 |
12.4(2)XB10 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
12.4(4)XD11; Available on 26-SEP-08 |
12.4(4)XD11; Available on 26-SEP-08 |
|
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Not Vulnerable |
||
|
12.4(15)XL2 |
12.4(15)XL2 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; contact TAC |
||
|
Not Vulnerable |
||
|
Not Vulnerable |
||
|
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
|
|
Vulnerable; contact TAC |
||
|
12.4(11)XW7 |
12.4(11)XW9 |
|
|
12.4(15)XY3 |
12.4(15)XY4 |
|
|
Not Vulnerable |
||
|
Not Vulnerable |
||
回避策
影響を受けるCisco IOSデバイスがVoice over IPサービスの提供を必要とするためにSIPを無効にすることができない場合、これらの脆弱性に対して有効な回避策は存在しません。ユーザは、これらの脆弱性の露出を限定するために、緩和策を適用することが望まれます。緩和策は、ルータへのアクセスを正当なデバイスだけに許可することです。 その効果を高めるために、その緩和策は、ネットワークエッジにてアンチスプーフィングとともに設定される必要があります。 SIPが転送プロトコルとしてUDPを使用することができるために、このアクションが必要となります。
ネットワーク内のシスコ機器に適用可能な他の緩和策は、このアドバイザリの付属ドキュメントである Cisco Applied Mitigation Bulletin にて参照できます: http://www.cisco.com/warp/public/707/cisco-amb-20080924-sip.shtml
SIPリスニングポートの無効化
SIPを有効にする必要のないデバイスに関しては、最も簡単で効果的な回避策はデバイスでSIPのプロセスを無効にすることです。 いくつかのCisco IOSのバージョンでは、管理者が次のコマンドで無効化を実行する事が可能です:
sip-ua no transport udp no transport tcp
警告: MGCP或いはH.323のコールを処理しているデバイス上でこの回避策を適用する場合、アクティブ・コールが処理されている間はSIPのプロセスを停止することが許可されません。 このような状況では、アクティブ・コールを停止することができるメインテナンスタイムの間に回避策を設定するべきです。
この対応策を適用した後、Cisco IOSデバイスがSIPメッセージを処理していないことを確認するために、"脆弱性のある製品"の項で説明されているshowコマンドを使用することをお奨めします。
コントロール プレーン ポリシング
SIPサービスを必要とするデバイスに関しては、信頼できない発信元からのSIPトラフィックをブロックするために、Control Plane Policing(CoPP)を使用することが可能です。 Cisco IOSソフトウェアリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4TがCoPP機能をサポートしています。 CoPPをデバイスに設定することにより、既存のセキュリティーポリシーとコンフィギュレーションに従って、明示的に認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを許可され、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑え、管理およびコントロールプレーンが保護されます。以下はネットワークへの適応例です。:
!-- The 192.168.1.0/24 network and the 172.16.1.1 host are trusted. !-- Everything else is not trusted. The following access list is used !-- to determine what traffic needs to be dropped by a control plane !-- policy (the CoPP feature.) If the access list matches (permit) !-- then traffic will be dropped and if the access list does not !-- match (deny) then traffic will be processed by the router. access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061 access-list 100 deny udp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5061 access-list 100 permit udp any any eq 5060 access-list 100 permit tcp any any eq 5060 access-list 100 permit tcp any any eq 5061 !-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4 !-- traffic in accordance with existing security policies and !-- configurations for traffic that is authorized to be sent !-- to infrastructure devices. !-- Create a Class-Map for traffic to be policed by !-- the CoPP feature. class-map match-all drop-sip-class match access-group 100 !-- Create a Policy-Map that will be applied to the !-- Control-Plane of the device. policy-map drop-sip-traffic class drop-sip-class drop !-- Apply the Policy-Map to the Control-Plane of the !-- device. control-plane service-policy input drop-sip-traffic
警告: SIPは転送プロトコルとしてUDPを使用することから、容易に送信元のIPアドレスを偽装することが可能なため、信頼されたIPアドレスからのこれらのポートへの通信を許可するACLが破られるかもしれません。
上記のCoPPの設定例では、アクセス コントロール リスト エントリー(ACE)のpermitアクションに一致し、攻撃である可能性のあるパケットはpolicy-map "drop"によって破棄され、(表示されていない)denyアクションと一致するパケットはpolicy-map "drop"の影響を受けません。 CoPP機能の設定と使用法に関するその他の情報は、こちらを参照してください。http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.shtmlおよびhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_feature_guide09186a008052446b.html
修正済みソフトウェアの入手
Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。 ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。 ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。ご契約を有するお客様
サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。 ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けている お客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策 を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール: tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
これらの脆弱性はCisco内部の試験とお客様のサービスリクエストにおいて発見されました。
この通知のステータス: FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20080924-sip.shtml ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。- cust-security-announce@cisco.com
- first-bulletins@lists.first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。 この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。
更新履歴
|
Revision 1.0 |
2008-September-24 |
Initial public release |
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。