パスワードを忘れた? アカウント作成
6149 story

CiscoのIOSにお手軽DoSなセキュリティーホール 37

ストーリー by Oliver
32bit総当たりは時間の問題 部門より

mpls 曰く、 "CERTのCA-2003-15 や、Cisco の警告 によると、Cisco の IOS のほぼ全てに、特定の IPv4 パケットを受けるとインタフェースがハングアップしてしまうというバグがある模様。
対象となるIOSが非常に多く、ネットワーク管理者の方々はいまごろ大変なのではないでしょうか? かく言う私も、いまから数百台の IOS のバージョンアップに追われる身です..."

znc 曰く、 "セキュリティーmemoとかZDNETの記事とかCERT Advisoryによると, cisco社のIOSを搭載したルーター/スイッチにセキュリティーに関わる欠陥が発覚したとの事です."

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • たぶん (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2003年07月17日 17時57分 (#360923)
    >> かく言う私も、いまから数百台の IOS のバージョンアップに追われる身です...

    タレこんでる場合ではないと思われます(=´ω`)
  • 影響 (スコア:2, 参考になる)

    by ddts (10995) on 2003年07月18日 0時28分 (#361157) 日記
    Sprint [sprint.net]
  • by znc (2768) on 2003年07月17日 16時32分 (#360853)
    タレコミしておいてなんですが・・・・・

    やっぱりcatalyst系のHUBも対象になりますよね?

    あと,こういう状況でもIOSの修正版は有料保守契約者にしか提供無し?
    まぁ,ルーターへの直接乗り込みを禁止すれば大丈夫そうですけどね・・・・・・

    # 経費がなくてciscoルーターの保守契約してないけどID(涙.
    --
    『今日の屈辱に耐え明日の為に生きるのが男だ』
    宇宙戦艦 ヤマト 艦長 沖田十三氏談
    2006/06/23 JPN 1 - 4 BRA
    • by aonoto (9756) on 2003年07月17日 21時19分 (#361034)
      > あと,こういう状況でもIOSの修正版は有料保守契約者にしか提供無し?
      > まぁ,ルーターへの直接乗り込みを禁止すれば大丈夫そうですけどね・・・・・・

      例のアドバイザリには


      Customers whose Cisco products are provided or maintained through prior or existing agreement with third-party support organizations such as Cisco Partners, authorized resellers, or service providers should contact that support organization for assistance with obtaining the free software upgrade(s).


      と書いているので、納入業者に聞いてみるのもいいかもしれません。
      (さらに次の段落で、不成功の場合はCiscoのTechnical Assistance
        Center (TAC)に連絡せよ(超訳)という文章も見られます。)
      #けどめんどくさそう…。WebかFTPでダウンロードできれば
      #いいのですが…。
      親コメント
    • by mpls (8235) on 2003年07月17日 16時39分 (#360860) 日記
      もちろん対象になるでしょう。 とりあえず ACL 書いて止めておくしかないですね。
      --
      --- show mpls ldp neighbor
      親コメント
    • by Anonymous Coward on 2003年07月17日 18時03分 (#360929)
      タレコミ文リンク先のCiscoページにかいてありますね
      12.0WC
      Early deployment 2900XL-LRE,2900XL/3500XL; 2950 release
      とはcatalyst用ですよね?

      ざっと読んだのですが、これはethernetInterfaceだけが対象?、 うちの部署、ATMのinterfaceもあるけど
      そこから経由してきたパケットは果して直接なのかどうか、気がかり。IPを指定してアクセスできる
      ethenetinterfaceが対象という意味であってるのかな。>直接
      親コメント
      • by wisteria (10432) on 2003年07月18日 19時08分 (#361648)
        Bridge encaps を使ったりしてると、どうなるか気になりますが・・・。

        再現できるソフトがないと、実験することもできない。
        CISCO の言うとおり、VersionUp して逃げるしかないのかな。
        親コメント
      • by Anonymous Coward
        Layer を考えればすぐに判るのでは?
        そんなことを聞く様では IOS は触らないほうがいい。
      • > ざっと読んだのですが、これはethernetInterfaceだけが対象?、
        > うちの部署、ATMのinterfaceもあるけど
        > そこから経由してきたパケットは果して直接なのかどうか、

        パケットジェネレータ使って、テストしてみな。
      • よく読みませう (スコア:2, 参考になる)

        by Anonymous Coward on 2003年07月18日 12時29分 (#361453)
        該当部分を引用します
          A rare, specially crafted sequence of IPv4 packets with protocol type 53 (SWIPE), 55 (IP Mobility), 77 (Sun ND), or 103 (Protocol Independent Multicast - PIM) (後略)
        TCPのPort番号じゃないっす。Protocol typeっす。
        # 何が何番か、TCPやUDPすら覚えちゃいない......
        親コメント
    • Windowsの緊急が二つ出てるんだよ~。 何でこんなときに限ってIOSまで。(大泣き)
      • その2つ目についてはタレコミなし?
        MS の警告なんて、もうニューズにもならないんですか。そうですか。
        • WindowsのRPCの脆弱性はタレコミもあるし、新聞の一般紙の一部にも
          掲載されているみたい。

          それよりIOSの問題は一般紙には全く報道されず。
          昨日あたりからIOSのアップデートの影響でISPに障害がちらほら発生している模様。

          攻撃ツールも出回っているらしいので、こっちのほうが実は緊急性は高い。
    • CatalystはCatOS等、IOSじゃ無いのを使ってれば大丈夫なんじゃないですか?と書こうとして Cisco Product Security Advisories and Notices [cisco.com]を見たら、CatOSは一週間前に別の Security Advisory [cisco.com]が出てますね。ダメじゃん。

      There is no workaround. In order to continue using
  • by Anonymous Coward on 2003年07月17日 16時59分 (#360878)
    攻撃者にとっては、定期的に特定パケットを送るだけでDoSになるから?
  • by Anonymous Coward on 2003年07月17日 23時27分 (#361110)
    その問題のパケットを生成するプログラムはないのでしょうか?
    問題があることを確認して、対応するバージョンにあげて
    問題がないことを確認するためには必要なんですね。
    でも。。。攻撃につかわれたら。
    むずかしい。。どう考えます?みなさん。
    • by Anonymous Coward
      問題があることと影響があるバージョンは確認されてるんだから、バージョン上げればいいだろ。
      なぜあんたが再確認する必要があるんだ?

      つか、ether frame 吐くプログラムくらい書けや。
  • by Anonymous Coward on 2003年07月17日 23時46分 (#361118)
    (回避不能な)ハードのバグじゃなくてよかったですね。

    ソフトで回避不能なハードのバグだと回収→修理ってことになっちゃうのかな? (そして保守が切れていたら買い換え?)
    • by Anonymous Coward
      ぼくちゃん、ふぁーむうぇあってしってるかな?
      わかったら、おうちにかえってね。
      • by mpls (8235) on 2003年07月18日 0時37分 (#361163) 日記
        まぁそう言いなさんな。

        最近だと、Catalyst3550-24 とかの一部のロットにハード障害があったね。
        ただし、コレも対応済みの IOS に入れ替えればなおるんだよな。
        ハードを制御するときに、ソフト側でエラーを起こすような部分を
        避けるようにするんだよね。
        --
        --- show mpls ldp neighbor
        親コメント
      • by Ryo.F (3896) on 2003年07月18日 1時25分 (#361199) 日記
        でも、たまにあるんだな>ファーム入れ替えで直らない問題。
        私の知っている範囲で言えば、Cat2924のport 1/9/17は、他のポートより高負荷時にパケットをロスしやすい、という問題があるけど、これがファーム入れ替えで直ったという話は聞かない。ま、これはCiscoに言わせれば、バグでなくて仕様、ということらしいけど。
        あと、Cat2950-24で、FastEthernetのポートを抜き差ししていると、接続が不安定になって、低負荷時でも数百パケットに一つくらいの確率でロスする、という問題に当たったことがある。これはロット不良なのかもしれないけど、ファームで直るという話ではなさそう。
        親コメント
        • by mpls (8235) on 2003年07月18日 7時42分 (#361305) 日記
          Catalyst2924 とかは、ポート8つで一つのモジュールが
          制御してるのかもね。だから 1,9,17 がおちると。多分、
          ポートミラーとかもその八つの中でやれとかの制限ない
          かい?

          Catalyst2950-24 の FastEthernet の話。昔の 2900 でも
          あったよね。で、2900 では勝手にリブートしてくれたり
          してた。
          --
          --- show mpls ldp neighbor
          親コメント
        • by Anonymous Coward
          むー
          原因がハードだろうがソフト(ファーム)だろうが、結局ベンダが対策してくれなければ、ユーザ泣き寝入りするしかないですよね。

          某社の「その問題は認識しております」を思い出してしまった。
          • by Anonymous Coward
            > 結局ベンダが対策してくれなければ、
            > ユーザ泣き寝入りするしかないですよね。

            ユーザーも泣き寝入りせず、板挟みにあって代理店(パートナー)が悶絶するとか、時には(稀?)Cisco側機器持ち出しで強引に解決するとか、そんなこともありました。

            # ATM-CESのCAS使用時、RBTさえ返っていれば。
      • by Anonymous Coward
        そふとでうごいているって、しらなかった。
  • by Anonymous Coward on 2003年07月19日 13時37分 (#362004)
    確認しまひた。ざんねんながらちゃんと止まりました
    DoS成立しました。
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...