Cisco Systemsの一部のルータとスイッチに、機能停止を引き起こす恐れのあるソフトウェア上の脆弱性が発見された。
Ciscoによると、IOSのバージョン12.2Sを使い、DHCPサーバおよびDHCPリレー機能をオンにしている機器では、攻撃者から特殊設計のDHCPパケットを大量に送り込まれた場合、利用不能に陥る恐れがある。
問題は、IOS 12.2SのDHCPパケット処理方法に存在している。攻撃者が機器を混乱させる目的で変則的なDHCPパケットを送ると、そのパケットは除外されずキューに残る。「インプットキューサイズ相当の多数のパケットが送られた場合、そのインタフェース上で、それ以上のトラフィックが受け付けられなくなる」とCiscoは説明。この結果、その機器は、パケットのルーティングやスイッチングをしなくなる。
DHCPサービスは、IOSソフトのデフォルト設定でオンになっている。つまり、対象のルータやスイッチでDHCPサービスを提供していない場合であっても攻撃を受ける可能性があるということだ。その機器が脆弱でないことを確かめるためには、設定表示が「no service dhcp」となっている必要がある。
対象のルータとスイッチは以下の通り。
Ciscoでは、対象機器でDHCPサービスを使い続けたい顧客向けに、修正プログラムを無償で提供している。
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR