CISCO製品のTCP脆弱性への対応について

掲載日:2004年4月28日

シスコシステムズ社より「CISCO製品のTCPの実装に関する脆弱性」の存在が報告されました。
シスコシステムズ社からの発表の概要と当社の対応をご連絡致します。

1. 概要

シスコシステムズ社からの発表の概要を以下に示します。
なお、詳細については、3のシスコシステムズ社関連情報のURLをご参照ください。

1-1．事象

TCPプロトコルスタックを実装しているシスコルータおよびスイッチに関して、不正利用された場合には、TCPコネクションをリセットすることが可能になる脆弱性を有していることが確認されています。 悪意を持った攻撃者に攻撃を受けた場合、攻撃を受けるプロトコルによってはコネクションの切断によってネットワークアクセスの一時的停止等の影響があります。

1-2．該当製品

「TCPプロトコルスタックを実装している全てのシスコルータおよびスイッチ」が該当製品となります。
富士通が提供するシスコファミリーハード製品に関しては、下記を除く全ての製品が対象となります。
  - Cisco VPN 3000 Series Concentrators

1-3. 恒久対策

対象となるIOSを脆弱性対処済みバージョンへバージョンアップすることで、恒久的な対策を行うことが出来ます。
IOSの脆弱性対処済みバージョンの情報については、3-1の脆弱性詳細のURLをご参照ください。

1-4．回避策

恒久対策がすぐに実行できない場合の回避策の一例を示します。
ただし、影響する製品が多様であるために対象となるネットワークに適用する回避策を十分に検討する必要があります。

(BGPで運用されているネットワークの回避策)

  ・ セッションごとにピア間にMD5 Secretの設定
  ・ 許可されていないトラフィックの基幹設備へのアクセスの遮断
  ・ スプーフィング（なりすまし）対策のネットワーク境界への設定
  ・ パケットレート制限

具体的な設定方法については、3-1の脆弱性詳細のシスコシステムズ社URLをご参照ください

2. 当社の対応

2-1．対応

当社の提供するシスコファミリーハードへの対応について以下に示します。

脆弱性対処済みIOSソフトウェアを無償でご提供致します。
ソフトウェアの入手についてはご購入いただいた販売会社、弊社担当営業へお問い合わせください。
またご希望が有る場合は有償にてインストール代行サービスも提供しております。

2-2．注意事項

IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。
FLASH/DRAM必要容量に関しては、3-2項のシスコシステムズ社URL を参照して下さい。

3. シスコシステムズ社関連情報

3-1. シスコシステムズ社からの発表の詳細は下記URLをご参照ください。

【日本語】
TCP Vulnerabilities in Multiple IOS-Based Cisco Products
TCP Vulnerabilities in Multiple Non-IOS Cisco Products
【英語】
TCP Vulnerabilities in Multiple IOS-Based Cisco Products
TCP Vulnerabilities in Multiple Non-IOS Cisco Products

3-2. Release Notes

1. 12.3のRelease Notes
2. 12.2SのRelease Notes
3. 12.2TのRelease Notes
4. 12.2のRelease Notes
5. 12.1のRelease Notes
6. 12.0SのRelease Notes
7. 12.0のRelease Notes
8. 11.3のRelease Notes
9. 11.2のRelease Notes