CiscoのIOSにお手軽DoSなセキュリティーホール 37
ストーリー by Oliver
32bit総当たりは時間の問題 部門より
32bit総当たりは時間の問題 部門より
mpls 曰く、 "CERTのCA-2003-15 や、Cisco の警告 によると、Cisco の IOS のほぼ全てに、特定の IPv4 パケットを受けるとインタフェースがハングアップしてしまうというバグがある模様。
対象となるIOSが非常に多く、ネットワーク管理者の方々はいまごろ大変なのではないでしょうか? かく言う私も、いまから数百台の IOS のバージョンアップに追われる身です..."
znc 曰く、 "セキュリティーmemoとかZDNETの記事とかCERT Advisoryによると, cisco社のIOSを搭載したルーター/スイッチにセキュリティーに関わる欠陥が発覚したとの事です."
たぶん (スコア:3, おもしろおかしい)
タレこんでる場合ではないと思われます(=´ω`)
影響 (スコア:2, 参考になる)
これってやっぱり (スコア:1)
やっぱりcatalyst系のHUBも対象になりますよね?
あと,こういう状況でもIOSの修正版は有料保守契約者にしか提供無し?
まぁ,ルーターへの直接乗り込みを禁止すれば大丈夫そうですけどね・・・・・・
# 経費がなくてciscoルーターの保守契約してないけどID(涙.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:これってやっぱり (スコア:3, 参考になる)
> まぁ,ルーターへの直接乗り込みを禁止すれば大丈夫そうですけどね・・・・・・
例のアドバイザリには
と書いているので、納入業者に聞いてみるのもいいかもしれません。
(さらに次の段落で、不成功の場合はCiscoのTechnical Assistance
Center (TAC)に連絡せよ(超訳)という文章も見られます。)
#けどめんどくさそう…。WebかFTPでダウンロードできれば
#いいのですが…。
Re:これってやっぱり (スコア:2, 参考になる)
--- show mpls ldp neighbor
Re:これってやっぱり (スコア:1, 参考になる)
12.0WC
Early deployment 2900XL-LRE,2900XL/3500XL; 2950 release
とはcatalyst用ですよね?
ざっと読んだのですが、これはethernetInterfaceだけが対象?、 うちの部署、ATMのinterfaceもあるけど
そこから経由してきたパケットは果して直接なのかどうか、気がかり。IPを指定してアクセスできる
ethenetinterfaceが対象という意味であってるのかな。>直接
Re:これってやっぱり (スコア:1)
再現できるソフトがないと、実験することもできない。
CISCO の言うとおり、VersionUp して逃げるしかないのかな。
Re:これってやっぱり (スコア:0, 余計なもの)
そんなことを聞く様では IOS は触らないほうがいい。
Re:これってやっぱり (スコア:0)
Re:これってやっぱり (スコア:0)
> うちの部署、ATMのinterfaceもあるけど
> そこから経由してきたパケットは果して直接なのかどうか、
パケットジェネレータ使って、テストしてみな。
Re:これってやっぱり (スコア:1)
53, 55, 77, 103 の port番号のパケットがまずいらしい。
っていうか、53 てどうよ。DNS 使うなってことか? [cisco.com]
--- show mpls ldp neighbor
よく読みませう (スコア:2, 参考になる)
A rare, specially crafted sequence of IPv4 packets with protocol type 53 (SWIPE), 55 (IP Mobility), 77 (Sun ND), or 103 (Protocol Independent Multicast - PIM) (後略)
TCPのPort番号じゃないっす。Protocol typeっす。# 何が何番か、TCPやUDPすら覚えちゃいない......
Re:よく読みませう (スコア:1)
気づきました。
--- show mpls ldp neighbor
Re:これってやっぱり (スコア:0)
Re:これってやっぱり (スコア:0)
MS の警告なんて、もうニューズにもならないんですか。そうですか。
Re:これってやっぱり (スコア:0)
掲載されているみたい。
それよりIOSの問題は一般紙には全く報道されず。
昨日あたりからIOSのアップデートの影響でISPに障害がちらほら発生している模様。
攻撃ツールも出回っているらしいので、こっちのほうが実は緊急性は高い。
IOSと書いてあるから (スコア:0)
There is no workaround. In order to continue using
Re:これってやっぱり (スコア:0)
ご立派な言い分だこと。
どこがお手軽? (スコア:0)
Re:どこがお手軽? (スコア:0)
確認方法 (スコア:0)
問題があることを確認して、対応するバージョンにあげて
問題がないことを確認するためには必要なんですね。
でも。。。攻撃につかわれたら。
むずかしい。。どう考えます?みなさん。
Re:確認方法 (スコア:0)
なぜあんたが再確認する必要があるんだ?
つか、ether frame 吐くプログラムくらい書けや。
Re:確認方法 (スコア:1)
極一部のDE以外は知らないそうです。
Re:確認方法 (スコア:1)
「パッチをあてて問題が解決したことの証明」を求める顧客もいますな。
Re:確認方法 (スコア:1)
で、Cisco に
「原因となっているバグがこのバグIDで、バージョンをあげたら、
この問題が直るという保証をしろ。」
っていうと、
「とにかくあげてくれ。」
としか言わない。
あれ、ホント何とかしてほしい。
--- show mpls ldp neighbor
Re:確認方法 (スコア:1)
あれほど改修が目に見えてわかるのも少なかった。
お客さんはすぐバージョンアップしてくれたし
Re:確認方法 (スコア:1)
まだ (スコア:0)
ソフトで回避不能なハードのバグだと回収→修理ってことになっちゃうのかな? (そして保守が切れていたら買い換え?)
Re:まだ (スコア:0)
わかったら、おうちにかえってね。
Re:まだ (スコア:1)
最近だと、Catalyst3550-24 とかの一部のロットにハード障害があったね。
ただし、コレも対応済みの IOS に入れ替えればなおるんだよな。
ハードを制御するときに、ソフト側でエラーを起こすような部分を
避けるようにするんだよね。
--- show mpls ldp neighbor
Re:まだ (スコア:1)
私の知っている範囲で言えば、Cat2924のport 1/9/17は、他のポートより高負荷時にパケットをロスしやすい、という問題があるけど、これがファーム入れ替えで直ったという話は聞かない。ま、これはCiscoに言わせれば、バグでなくて仕様、ということらしいけど。
あと、Cat2950-24で、FastEthernetのポートを抜き差ししていると、接続が不安定になって、低負荷時でも数百パケットに一つくらいの確率でロスする、という問題に当たったことがある。これはロット不良なのかもしれないけど、ファームで直るという話ではなさそう。
Re:まだ (スコア:1)
制御してるのかもね。だから 1,9,17 がおちると。多分、
ポートミラーとかもその八つの中でやれとかの制限ない
かい?
Catalyst2950-24 の FastEthernet の話。昔の 2900 でも
あったよね。で、2900 では勝手にリブートしてくれたり
してた。
--- show mpls ldp neighbor
Re:まだ (スコア:0)
原因がハードだろうがソフト(ファーム)だろうが、結局ベンダが対策してくれなければ、ユーザ泣き寝入りするしかないですよね。
某社の「その問題は認識しております」を思い出してしまった。
Re:まだ (スコア:0)
> ユーザ泣き寝入りするしかないですよね。
ユーザーも泣き寝入りせず、板挟みにあって代理店(パートナー)が悶絶するとか、時には(稀?)Cisco側機器持ち出しで強引に解決するとか、そんなこともありました。
# ATM-CESのCAS使用時、RBTさえ返っていれば。
Re:まだ (スコア:0)
sc (スコア:0)
DoS成立しました。