米Cisco Systemsは米国時11月10日,同社のルーターやスイッチなどに搭載されているOS「IOS(Internetwork Operating System)」に見つかったセキュリティ・ホールを公表した。細工が施されたパケットを送られ続けると,それ以降のパケット受け入れ処理を停止させられる。影響を受けるのは,Cisco IOS 12.2(14)SZ,および12.2(18)Sから派生したバージョンのIOS。対策は修正プログラムを適用することなど(11月12日時点,修正プログラムは未公開)。
特定バージョンのIOSには,DHCP(Dynamic Host Configuration Protocol)パケットの処理に問題がある。それが,今回見つかったセキュリティ・ホールである。このため,細工が施されたDHCPパケットを送られると,適切に処理できずにキューにたまってしまう。そのようなDHCPパケットを送られ続けると,最終的にはキューが一杯になり,それ以降に送られてきた正常なパケット(DHCPに限らない)を処理できなくなる。
セキュリティ・ホールの影響を受けるのは,Cisco IOS 12.2(14)SZや12.2(18)Sなどが稼働するネットワーク機器。影響を受けるバージョンや機器の詳細についてはCiscoなどが公開する情報を参照してほしい。
対策は修正プログラムを適用すること。ただし,11月12日19時時点では「The fixes will be available」とされている。そのほか,DHCPサービスを明示的に無効にすることでも回避できる(デフォルトでは有効になっている)。ACLの設定でも回避できる。これら回避策の詳細については,Ciscoが公開する情報の「Workarounds」などを参照のこと。
◎参考資料
◆Cisco Security Advisory: Cisco IOS DHCP Blocked Interface Denial-of-Service(米Cisco Systems)
◆Technical Cyber Security Alert TA04-316A:Cisco IOS Input Queue Vulnerability(米US-CERT)
◆Vulnerability Note VU#630104:Cisco IOS fails to properly handle malformed DHCP packets(米US-CERT)
◆Cisco IOS DHCP Packet Handling Denial of Service Vulnerability(デンマークSecunia)
(勝村 幸博=IT Pro)
