CISCO製品のMPLSに関する脆弱性への対応について

掲載日:2005年3月31日

シスコシステムズ社より報告されております「CISCO製品のMPLSに関する脆弱性」について当社対応の準備が整いましたのでご連絡いたします。

1. 概要

脆弱性のあるバージョンのIOSが稼動し、かつMPLSをサポートしているシスコ製品は特殊なMPLSパケットによるDOS攻撃を受けると製品本体が再起動する脆弱性を有しています。
なお詳細については3項のシスコシステムズ社関連情報のURLをご参照ください。

1-1．事象

本脆弱性はある特定のバージョンのIOSが稼動し、かつMPLSをサポートしているシスコ製品が対象になります。MPLSを無効にしているインターフェースで特殊なMPLSパケットを受信すると、製品本体が再起動してしまう脆弱性を有しています。
本脆弱性により悪意を持った攻撃者によるDoS（Denial of Services：サービス継続不能）攻撃を受ける可能性があります。

1-2．該当製品

「特定バージョンのIOSで動作し、かつMPLSをサポートしている全てのシスコルータやスイッチ」が該当し、富士通シスコファミリーハード製品に関しては、下記の製品が対象となります。

- Cisco 2600シリーズ
- Cisco 2800シリーズ
- Cisco 3600シリーズ
- Cisco 3700シリーズ
- Cisco 3800シリーズ
- AS5300シリーズ
かつ
IOS Version 12.1T
IOS Version 12.2
IOS Version 12.2T
IOS Version 12.3
IOS Version 12.3T

1-3．恒久対策

対象となるIOSを脆弱性対処済みバージョンへバージョンアップすることで、恒久的な対策を行うことが出来ます。
IOSの脆弱性対処済みバージョンの情報については、3-1項の脆弱性詳細のURLをご参照ください。

1-4．回避策

本脆弱性による影響を緩和する回避策としてネットワークセキュリティを構築するためにアクセスリストの適用が考えられます。ただし、影響する製品が多様であるために対象となるネットワークに適用する回避策を十分に検討する必要があります。
（MPLS脆弱性に対する回避策）
・MPLS Traffic Engineering(MPLS TE)の有効化

具体的な設定方法については、3-1項の脆弱性詳細のシスコシステムズ社URLをご参照ください。

2. 当社の対応

2-1．対応

当社の提供するシスコファミリ－ハードへの対応について以下に示します。

脆弱性対処済みIOSソフトウェアを無償でご提供致します。
ソフトウェアの入手についてはご購入いただいた販売会社、弊社担当営業へお問い合わせください。
またご希望が有る場合は有償にてインストール代行サービスも提供しております。

2-2．注意事項

IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、3-2項のシスコシステムズ社URL を参照して下さい。

3. シスコシステムズ社関連情報

3-1. 脆弱性詳細

シスコシステムズ社からの発表の詳細は下記URLをご参照ください。

【英語】
Crafted Packet Causes Reload on Cisco Routers

3-2. Release Notes

1. 12.3TのRelease Notes
2. 12.3のRelease Notes
3. 12.2TのRelease Notes
4. 12.2のRelease Notes
5. 12.1TのRelease Notes