| ライター翻訳版 - January 29, 2005 |
| 英語版 |
| Document ID: 63845 |
Revision 1.1
Last Updated 2005 January 29 0600 UTC (GMT)
For Public Release 2005 January 26 1600 UTC (GMT)
目次
要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス:FINAL
情報配信
更新履歴
シスコ セキュリティ手順
要約
シスコ IOS が稼動する製品で Border Gateway Protocol(BGP) の設定がされているものは、 特異な BGP パケットによるサービス妨害攻撃 (Denial of Service (DOS) attack) に 対して脆弱性が存在します。BGP プロトコルはデフォルトでは製品上に設定されていないため、 明示的に特定のピアを設定し、そのトラフィックを受信する必要があります。 悪意のあるパケットが、設定された信頼できるピアを 送信元としたものに見えない限り、 特異なパケットを受け入れるのは困難です。 シスコではこの問題を解決するソフトウェアを無償でご提供しています。 本脆弱性は CERT/CC VU#689326 にて管理されています。 本アドバイザリは以下にて確認可能です。http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
該当製品
脆弱性が存在する製品
本脆弱性は BGP をサポートしている、修正の施されていないすべての IOS バージョン (9.x, 10.x, 11.x そして 12.x) に存在し、BGP ルーティングが設定されており、 かつ bgp log-neighbor-changes コマンドが設定されたすべてのシスコ製品に影響があります。 なお、bgp log-neighbor-changes コマンドは 12.0(22)S, 12.0(11)ST, 12.1(10)E, 12.1(10) 以降は デフォルトで有効となっております。Cisco IOS XR も本脆弱性の影響を受けます。
BGP ルーティングが設定されている製品では、設定上に以下の2つコマンドラインが存在しているものが該当し、 その確認方法は "show running-config" を実行し以下の2つコマンドラインを確認することです。
シスコ機器において稼動しているソフトウェアを確認するには、機器にログインし、 "show version" コマンドによりシステムバナーを表示させてください。Cisco IOS ソフ トウェアの場合 "Internetwork Operating System Software" もしくは "IOS(R)" と表示さ れます。次の出力ラインでは、括弧の間にイメージの名前、"Version" および IOS のリ リース名が続きます。他のシスコ機器の場合 "show version" コマンドが存在しないか、 違う出力結果が表示されます。router bgp <AS番号> bgp log-neighbor-changes
以下の例はイメージ名 C2500-IS-L がインストールされ、IOS リリース 12.0(3) が稼動 しているシスコ機器を表しています。リリーストレインラベルは "12.0" です。
Cisco Internetwork Operating System Software IOS (TM)次の例はイメージ名が C2600-JS-MZ で 12.0(2a)T1 の IOS リリースが稼動している機器です。
2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
Cisco Internetwork Operating System Software IOS (tm)Cisco IOS の命名に関するさらなる情報は以下の URL を参照してください。
C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
http://www.cisco.com/warp/public/620/1.htmlCisco Guard など Cisco IOS が稼動しない製品には本脆弱性は存在しないことが確認されています。 BGP (ピアリング) に組み込まれない製品や BGP の設定が不可能な製品に本脆弱性は存在しないことが確認されています。 その他の製品について、本脆弱性の影響を受けるものは現在確認されていません。
詳細
Border Gateway Protocol (BGP) は、RFC1771 で規定されたルーティングプロトコルで、 大規模ネットワークにおける IP ルーティングを管理するために設計されたものです。 脆弱性のあるバージョンのシスコIOS ソフトウェアが稼動し、BGP プロトコルを設定している該当シスコ製品で、 特異な BGP パケットがインターフェイスにキューされた状態で BGP neighbor change がログされる際に 再起動が発生します。特異なパケットは必ずしも不正な送信元から届くとは限らず、他の BGP ルータなど 正当なピアリング対向機器からエラーにより誤って特異なパケットが届き、本脆弱性の影響が出ることもあります。BGP は、メッセージの交換がなされる前に有効な 3-way handshake が要求されるような信頼性のある トランスポートプロトコルである TCP 上で動作しております。シスコ IOS ソフトウェアの BGP 実装は、 コネクションの確立の前に明示的な BGP Neighbor の定義が必要で、トラフィックはその BGP Neighbor から来るようにする必要があります。この実装により不当な送信元からの BGP パケットを受信することを非常に難しくしています。
本不具合は遠隔から攻撃可能ではないと考えられる他のトリガによって発生する場合もあります。 特異なパケットをすでに受信していた場合、show ip bgp neighbors や debug ip bgp
シスコ IOS 製品が特異な BGP パケットを受信した際に、再起動し完全に機能するようになるまで数分を要します。 本脆弱性を繰り返し利用することにより、結果としてサービス妨害攻撃となる可能性があります。 本脆弱性は Bug ID CSCee67450(登録ユーザのみ)としてドキュメントされています。
Graceful Restart が設定されている場合、パケット転送には影響はありません。
IOS XR では、利用者が明示的に BGP プロセスを必須 (mandatory) と設定しない限り IOS XR 製品の再起動は 発生しません。デフォルトでは BGP process は必須 (mandatory) ではありません。
影響
IOS における本脆弱性を利用することで、製品を再起動する事が出来ます。 連続した脆弱性の利用によりサービス妨害攻撃となる可能性があります。IOS XR における本脆弱性を利用することで、BGP プロセスを再起動する事が出来ます。 連続した脆弱性の利用によりサービス妨害攻撃となる可能性があります。製品の他のサービスは影響 を受けません。
ソフトウェアバージョンおよび修正
ソフトウェアアップグレードをご検討される際には、以下も併せてご参照ください。http://www.cisco.com/en/US/products/products_security_advisories_listing.html製品がアップグレードに必要なメモリを実装しているか、 現行のハードウェアとソフトウェアの構成が新リリースでもサポートされているか を十分ご確認ください。ご不明な点がありましたら、Cisco Technical Assistance Center (TAC) までご連絡ください。
IOS XR ソフトウエアをご利用いただいているお客様で修正ソフトウェアが必要な場合は Cisco TAC までご連絡ください。
| 主要リリース |
主要リリース 修正ソフトウェアの |
|
|---|---|---|
| 該当の 12.0 ベースのリリース |
リビルド |
メンテナンス |
| 12.0 |
12.0(28b) |
|
| 12.0DA |
Vulnerable; contact TAC |
|
| 12.0DB |
Migrate to 12.3(4)T11 or later |
|
| 12.0DC |
Migrate to 12.3(4)T11 or later |
|
| 12.0S |
12.0(26)S5 |
|
| 12.0(27)S4 |
||
| 12.0(28)S1 |
||
| 12.0(29)S |
||
| 12.0SC |
Vulnerable; contact TAC |
|
| 12.0SP |
Migrate to 12.0S or later |
|
| 12.0ST |
Migrate to 12.0(26)S5 or later |
|
| 12.0SX |
Vulnerable; contact TAC |
|
| 12.0SY |
Migrate to 12.0(26)S5 or later |
|
| 12.0SZ |
Migrate to 12.0(26)S5 or later |
|
| 12.0W5 |
12.0(28)W5 (31) |
|
| 12.0WC |
Vulnerable; contact TAC |
|
| 12.0WT |
Vulnerable; contact TAC |
|
| 12.0WX |
Vulnerable; contact TAC |
|
| 12.0XA |
Migrate to 12.1 latest |
|
| 12.0XB |
Migrate to 12.0(1)T or later |
|
| 12.0XC |
Migrate to 12.1 latest |
|
| 12.0XD |
Migrate to 12.1 latest |
|
| 12.0XE |
Migrate to 12.1E latest |
|
| 12.0XF |
Vulnerable; contact TAC |
|
| 12.0XG |
Migrate to 12.1 latest |
|
| 12.0XH |
Migrate to 12.1 or later |
|
| 12.0XI |
Migrate to 12.1 or later |
|
| 12.0XJ |
Migrate to 12.1 latest |
|
| 12.0XK |
Migrate to 12.2 latest |
|
| 12.0XL |
Migrate to 12.2 latest |
|
| 12.0XM |
Migrate to 12.1 or later |
|
| 12.0XN |
Migrate to 12.1 latest |
|
| 12.0XP |
Vulnerable; contact TAC |
|
| 12.0XQ |
Migrate to 12.1 or later |
|
| 12.0XR |
Migrate to 12.2 latest |
|
| 12.0XS |
Migrate to 12.1E latest |
|
| 12.0XT |
Vulnerable; contact TAC |
|
| 12.0XU |
Vulnerable; contact TAC |
|
| 12.0XV |
Migrate to 12.1 or later |
|
| 該当の 12.1 ベースのリリース |
リビルド |
メンテナンス |
| 12.1 |
12.1(26) |
|
| 12.1AA |
Migrate to 12.2 latest |
|
| 12.1AX |
12.1(14)AX3 |
|
| 12.1AY |
Migrate to 12.1(22)EA2 or later |
|
| 12.1AZ |
Migrate to 12.1(22)EA2 or later |
|
| 12.1DA |
Vulnerable; contact TAC |
|
| 12.1DB |
Migrate to 12.3(4)T11 or later |
|
| 12.1DC |
Migrate to 12.3(4)T11 or later |
|
| 12.1E |
12.1(22)E3 |
|
| 12.1(23)E2 |
||
| 12.1(26)E |
||
| 12.1EA |
12.1(22)EA2 |
|
| 12.1EC |
Vulnerable; contact TAC |
|
| 12.1EO |
Vulnerable; contact TAC |
|
| 12.1EV |
Migrate to 12.2S latest |
|
| 12.1EW |
Migrate to 12.2(18)EW2 or later |
|
| 12.1EX |
Migrate to 12.1E latest |
|
| 12.1EY |
Migrate to 12.1E latest |
|
| 12.1T |
Migrate to 12.2 or later |
|
| 12.1XA |
Migrate to 12.2 or later |
|
| 12.1XB |
Migrate to 12.2 or later |
|
| 12.1XC |
Migrate to 12.2 or later |
|
| 12.1XD |
Migrate to 12.2 or later |
|
| 12.1XE |
Migrate to 12.1E latest |
|
| 12.1XF |
Migrate to 12.3 or later |
|
| 12.1XG |
Migrate to 12.3 or later |
|
| 12.1XH |
Migrate to 12.2 or later |
|
| 12.1XI |
Migrate to 12.2 latest |
|
| 12.1XJ |
Migrate to 12.3 or later |
|
| 12.1XL |
MMigrate to 12.3 or later |
|
| 12.1XM |
Migrate to 12.3 or later |
|
| 12.1XP |
Migrate to 12.3 or later |
|
| 12.1XQ |
Migrate to 12.3 or later |
|
| 12.1XR |
Migrate to 12.3 or later |
|
| 12.1XT |
Migrate to 12.3 or later |
|
| 12.1XU |
Migrate to 12.3 or later |
|
| 12.1XV |
Vulnerable; contact TAC |
|
| 12.1YA |
Migrate to 12.3 or later |
|
| 12.1YB |
Migrate to 12.3 or later |
|
| 12.1YC |
Migrate to 12.3 or later |
|
| 12.1YD |
Migrate to 12.3 or later |
|
| 12.1YE |
Migrate to 12.3 or later |
|
| 12.1YF |
Migrate to 12.3 or later |
|
| 12.1YH |
Migrate to 12.3 or later |
|
| 12.1YI |
Migrate to 12.2(2)YC or later |
|
| 12.1YJ |
Migrate to 12.1(22)EA2 or later |
|
| 該当の 12.2 ベースのリリース |
リビルド |
メンテナンス |
| 12.2 |
12.2(27) |
|
| 12.2B |
Migrate to 12.3(4)T11 or later |
|
| 12.2BC |
Vulnerable; contact TAC |
|
| 12.2BW |
Migrate to 12.3 or later |
|
| 12.2BX |
Migrate to 12.3(7)XI3 -- Available 2/15/05 |
|
| 12.2BY |
Migrate to 12.3(4)T11 or later |
|
| 12.2BZ |
Migrate to 12.3(7)XI3 -- Available 2/15/05 |
|
| 12.2CZ |
Vulnerable; contact TAC |
|
| 12.2DA |
Vulnerable; contact TAC |
|
| 12.2DD |
Migrate to 12.3(4)T11 or later |
|
| 12.2DX |
Migrate to 12.3(4)T11 or later |
|
| 12.2EW |
12.2(18)EW2 |
|
| 12.2(25)EW |
||
| 12.2JK |
12.2(15)JK2 |
|
| 12.2MB |
Migrate to 12.2(25)SW or later |
|
| 12.2MC |
Migrate to 12.3(11)T or later |
|
| 12.2MX |
Migrate to 12.3(8)T5 or later |
|
| 12.2S |
12.2(25)S |
|
| 12.2SE |
12.2(20)SE3 |
|
| 12.2SU |
12.2(14)SU2 |
|
| 12.2SW |
Migrate to 12.2(25)SW |
|
| 12.2SX |
Migrate to 12.2(17d)SXB5 |
|
| 12.2SXA |
Migrate to 12.2(17d)SXB5 |
|
| 12.2SXB |
12.2(17d)SXB5 |
|
| 12.2SXD |
12.2(18)SXD2 |
|
| 12.2SY |
Migrate to 12.2(17d)SXB5 |
|
| 12.2SZ |
Migrate to 12.2(25)S or later |
|
| 12.2T |
Migrate to 12.3 or later |
|
| 12.2XA |
Migrate to 12.3 or later |
|
| 12.2XB |
Migrate to 12.3 or later |
|
| 12.2XC |
Migrate to 12.3 or later |
|
| 12.2XD |
Migrate to 12.3 or later |
|
| 12.2XE |
Migrate to 12.3 or later |
|
| 12.2XF |
Vulnerable; contact TAC |
|
| 12.2XG |
Migrate to 12.3 or later |
|
| 12.2XH |
Migrate to 12.3 or later |
|
| 12.2XI |
Migrate to 12.3 or later |
|
| 12.2XJ |
Migrate to 12.3 or later |
|
| 12.2XK |
Migrate to 12.3 or later |
|
| 12.2XL |
Migrate to 12.3 or later |
|
| 12.2XM |
Migrate to 12.3 or later |
|
| 12.2XN |
Migrate to 12.3 or later |
|
| 12.2XQ |
Migrate to 12.3 or later |
|
| 12.2XS |
Migrate to 12.3 or later |
|
| 12.2XT |
Migrate to 12.3 or later |
|
| 12.2XU |
Migrate to 12.3 or later |
|
| 12.2XW |
Migrate to 12.3 or later |
|
| 12.2XZ |
Migrate to 12.3 or later |
|
| 12.2YA |
12.2(4)YA8 |
|
| 12.2YB |
Migrate to 12.3 or later |
|
| 12.2YC |
Migrate to 12.3 or later |
|
| 12.2YE |
Migrate to 12.2S or later |
|
| 12.2YF |
Migrate to 12.3 or later |
|
| 12.2YG |
Migrate to 12.3 or later |
|
| 12.2YH |
Migrate to 12.3 or later |
|
| 12.2YJ |
Migrate to 12.3 or later |
|
| 12.2YK |
Migrate to 12.3T or later |
|
| 12.2YL |
Migrate to 12.3T or later |
|
| 12.2YM |
Migrate to 12.3T or later |
|
| 12.2YN |
Migrate to 12.3T or later |
|
| 12.2YO |
Migrate to 12.2(17d)SXB5 |
|
| 12.2YP |
Migrate to 12.3 or later |
|
| 12.2YQ |
Migrate to 12.3(4)T11 or later |
|
| 12.2YR |
Migrate to 12.3(4)T11 or later |
|
| 12.2YS |
Migrate to 12.3T or later |
|
| 12.2YT |
Migrate to 12.3 or later |
|
| 12.2YU |
Migrate to 12.3T or later |
|
| 12.2YV |
Migrate to 12.3(4)T11 or later |
|
| 12.2YW |
Migrate to 12.3(4)T11 or later |
|
| 12.2YX |
Migrate to 12.2(14)SU2 or later |
|
| 12.2YY |
Migrate to 12.3T or later |
|
| 12.2YZ |
Migrate to 12.2(25)S or later |
|
| 12.2ZA |
Migrates to 12.2(17d)SXB5 or 12.2(18)SXD2 |
|
| 12.2ZB |
Migrate to 12.3T or later |
|
| 12.2ZC |
Migrate to 12.3T or later |
|
| 12.2ZD |
Migrate to 12.3 or later |
|
| 12.2ZE |
Migrate to 12.3 or later |
|
| 12.2ZF |
Migrate to 12.3(4)T11 or later |
|
| 12.2ZG |
Migrate to 12.3(4)T11 or later |
|
| 12.2ZH |
Migrate to 12.3(4)T11 or later |
|
| 12.2ZI |
Migrate to 12.2(25)S or later |
|
| 12.2ZJ |
Migrate to 12.3T or later |
|
| 12.2ZK |
Migrate to 12.3T or later |
|
| 12.2ZL |
Migrate to 12.3(7)T7 or later |
|
| 12.2ZN |
Migrate to 12.3T or later |
|
| 12.2ZO |
Migrate to 12.3 or later |
|
| 12.2ZP |
Vulnerable; contact TAC |
|
| 該当の 12.3 ベースのリリース |
リビルド |
メンテナンス |
| 12.3 |
12.3(9c) |
|
| 12.3(10a) |
||
| 12.3(12) |
||
| 12.3B |
12.3(5a)B3 |
|
| 12.3BW |
Migrate to 12.3(7)T7 or later |
|
| 12.3T |
12.3(4)T11 |
|
| 12.3(7)T7 |
||
| 12.3(8)T5 |
||
| 12.3(11)T |
||
| 12.3XA |
Migrate to 12.3(7)T7 or later |
|
| 12.3XB |
Migrate to 12.3(8)T5 or later |
|
| 12.3XC |
Migrate to 12.3(8)T5 or later |
|
| 12.3XD |
12.3(4)XD4 |
|
| 12.3XE |
12.3(2)XE1 |
|
| 12.3XF |
Migrate to 12.3(11)T or later |
|
| 12.3XG |
Migrate to 12.3(11)T or later |
|
| 12.3XH |
Migrate to 12.3(11)T or later |
|
| 12.3XI |
12.3(7)XI3 - Available 2/15/05 |
|
| 12.3XJ |
Vulnerable; contact TAC |
|
| 12.3XK |
Vulnerable; contact TAC |
|
| 12.3XL |
Vulnerable; contact TAC |
|
| 12.3XN |
Vulnerable; contact TAC |
|
| 12.3XQ |
12.3(4)XQ1 Release date not yet determined |
|
| 12.3XR |
Vulnerable; contact TAC |
|
| 12.3XS |
12.3(7)XS2 |
|
| 12.3XU |
12.3(8)XU4 |
|
| 12.3XV |
Migrate to 12.3(11)T or later |
|
| 12.3XX |
12.3(8)XX1 |
|
| 12.3YA |
12.3(8)YA1 |
|
| 12.3YC |
Vulnerable; contact TAC |
|
| 12.3YD |
Vulnerable; contact TAC |
|
| 12.3YE |
Migrate to 12.3(4)T11 or later |
|
| 12.3YF |
Vulnerable; contact TAC |
|
| 12.3YH |
Vulnerable; contact TAC |
|
| 12.3YJ |
Vulnerable; contact TAC |
|
| 12.3YL |
Vulnerable; contact TAC |
|
修正ソフトウェアの入手
契約を有するお客様は、修正ソフトウェアが利用可能になり次第、通常の経路でそれを 入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com/tacpage/sw-center/シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ機器を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソフトウェアアップグレードを入手してください。
シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサードパー ティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入手できないお客様 は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に連絡し、修 正済ソフトウェアを入手してください。TAC への連絡先は以下の通りです。
無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を 提示してください。契約がないお客様の無償アップグレードは TAC を通して要求してく ださい。+1 800 553 2447 (北米内からフリーダイヤル) +1 408 526 7209 (北米以外からの有料通話) e-mail: tac@cisco.com
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスなど、 その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtmlお客様におかれましては、ご購入いただきましたフィーチャーセットに関してのみ インストールいただくことができ、サポートさせていただきます。インストール、 ダウンロード、アクセス、その他ソフトウェアアップグレードされた場合は、 以下の Cisco Software License Term に従うことに同意したものとします。
http://www.cisco.com/public/sw-license-agreement.html
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
回避策
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィック の性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に 展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様の サービスプロバイダーやサポート組織にご相談ください。* bgp log-neighbor-changes コマンドの削除本機能は BGP ピアのステータスを監視するために利用され、その削除によってネットワークに対する 監視機能が限定される場合があります。
さらなる本コマンドの情報は以下より入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187ネットワーキングのベスト・プラクティステクニックの適用によって、基幹設備への攻撃の可能性を 大幅に低減することができます。以下のベスト・プラクティスによってリスクを低減できます。
/products_command_reference_chapter09186a008017d026.html#wp1040601
BGP MD5
通常の状態においては、TCP プロトコルの順序番号(sequence number)チェックのような 元々存在するセキュリティ要素では、困難ではあるものの捏造したパケットで本問題 を悪用することが可能です。シスコ IOS が稼動する製品で BGP MD5 認証を設定すること が脆弱な製品を保護するために有効な回避策になります。 この手法は正当な BGPピアが不正パケットを生成する場合には回避策とはなりません。以下の例のように設定可能です:
両方のピアで同時に同一の MD5 secret 設定する必要があります。さもなくば 確立されている BGP セッションが切断され、両方の装置で同一の secret が 設定されるまで、新しい BGP セッションが 確立されません。BGP の設定方法に 関する詳細な議論は、以下のドキュメントをご参照ください。router(config)# router bgp router(config-router)# neighbor <IP_address> password <enter_your_secret_here>
どのように BGP の設定するかについての詳細につきましては、以下のドキュメントを ご参照ください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products
_configuration_guide_chapter09186a00800ca571.html
一旦 secret が設定された後は、定期的に変更するのが無難といえます。変更間隔はセキュリティーポリシーに依存しますが、 数ヶ月以内であることが望ましく、secret を変更する場合には、やはり両側の装置で同時に実行する必要があります。 例外は使用する IOS リリースに CSCdx23494(登録ユーザのみ)が組み込まれている場合 になります。この修正によって、 片方のみで MD5 secret が変更されても、BGP セッションは切断されません。しかし、その場合でも BGP update は、 両側の装置で 同一の secret が設定されるか、secret が両側の製品から削除されるまで、処理されません。
Infrastructure Access Lists (ACLs) の定義
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、 自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、 そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACLは、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティーと考えることが出来ます。 ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists" は、 アクセスリストによって基幹機器を守るためのガイドラインと、 推奨される導入方法が記載されています。http://www.cisco.com/warp/public/707/iacl.html
IOS XR のための回避策
Cisco IOS XR は debug bgp を warning レベル以上に冗長 (verbose) 設定しない、あるいは、BGP neighbor ステートの 変動を logging しないことによって、本脆弱性のさらされないようにすることができます。不正利用事例と公表
Cisco PSIRT では本アドバイザリに記載されている脆弱性を利用した不正利用事例は確認 しておりません。本脆弱性は Cisco の内部テストで発見されました。この通知のステータス: FINAL
本アドバイザリーは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリーの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝 搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtmlワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者 向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿 されています。
* cust-security-announce@cisco.com
* first-teams@first.org (includes CERT/CC)
* bugtraq@securityfocus.com
* vulnwatch@vulnwatch.org
* cisco@spot.colorado.edu
* cisco-nsp@puck.nether.net
* full-disclosure@lists.netsys.com
* comp.dcom.sys.cisco@newsgate.cisco.com更新履歴
| Revision 1.1 |
2005-Jan-29 |
IOS XR を該当製品に追加。 |
| Revision 1.0 |
2005-Jan-26 |
初版 |
シスコ セキュリティ手順
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およ びシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス コワールドワイドウェブサイトのhttp://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlにアクセスしてください。 このページにはシスコのセキュリティ通知に関して メディアが問い合わせる際の指示が掲載されています。
全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt/で確認することができます。
This notice is Copyright 2005 by Cisco Systems, Inc.
This notice may be redistributed freely after the release date given at the top of the text,
provided that redistributed copies are complete and unmodified,
and include all date and version information.