米Cisco Systemsは米国時間8月27日,同社のルーターやスイッチなどに搭載されているOS「IOS(Internetwork Operating System)」のセキュリティ・ホールを公表した。IOSが稼働する機器に,細工が施されたパケットが送られると,それ以降,その機器にTelnetやSecure Shell(SSH)などで接続できなくなる。TelnetやReverse Telnetを有効にしている場合のみ影響を受ける。対策は,修正プログラムを適用することなど(8月30日時点,修正プログラムは未公開)。
セキュリティ・ホールがあるIOSのTelnet(23/tcp)あるいはReverse Telnet(2001-2999/tcp,3001-3099/tcp,6001-6999/tcp,7001-7099/tcp)に対して,細工を施したパケットが送信されると,それ以降,バーチャル・ターミナル(VTY)を使うサービスを利用できなくなる。具体的には,TelnetやReverse Telnet,RSH,SSH,SCPを使ってIOSにアクセスできなくなる。
IOSに含まれるCisco HTTPサーバーがバージョン1.0の場合には,HTTPでもアクセスできなくなる。IOSのバージョン12.2(15)以降に含まれるCisco HTTPサーバーはバージョン1.1なので,HTTPに関しては,IOS 12.2(15)以降は影響を受けない。
対策はCiscoが公開する修正プログラムを適用すること。ただし,現時点(8月30日)では未公開。修正プログラムが公開され次第,同社のセキュリティ情報にその旨が追記される予定。
修正プログラムの回避策として同社が勧めているのは,Telnetを無効にしてSSHを使うようにすること。ほかに,VTYの設定変更やAccess Control Lists(ACLs)の設定も回避策として挙げている。回避策の詳細については,同社のセキュリティ情報を参照してほしい。
________________________________________________________
美国思科系统公司于当地时间8月27日宣布,该公司路由器及交换机等配备的操作系统“IOS(Internetwork Operating System)”存在安全漏洞。如果向运行IOS的设备发送做过手脚的数据包,则将无法以Telnet及Secure Shell(SSH)等方式连接该设备。该漏洞仅在Telnet及Reverse Telnet设为有效时才会产生影响。解决办法是安装补丁程序等(截止到8月30日尚未公开补丁程序)。
如果向存在该安全漏洞的IOS的Telnet(23/tcp)或Reverse Telnet(2001-2999/tcp、3001-3099/tcp、6001-6999/tcp、7001-7099/tcp)发送做过手脚的数据包,则将无法使用虚拟终端(VTY)相关的服务,也就是说将无法通过Telnet、Reverse Telnet、RSH、SSH以及SCP访问IOS。
如果IOS中的Cisco HTTP服务器版本为1.0,则还将无法访问HTTP。由于IOS版本12.2(15)以后中的Cisco HTTP服务器版本为1.1,因此IOS 12.2(15)以后HTTP服务将不受其影响。
解决办法是安装思科公开的补丁程序。不过目前(8月30日)尚未公开补丁程序。该公司将在公布补丁程序后在其安全信息中补充相关信息。
该公司建议,回避该补丁程序(中译者注:原稿如此)的办法是将Telnet设为无效而改用SSH。其他回避措施还有改变VTY设置或设置Access Control Lists(ACLs)。详细回避措施请参照该公司的安全信息。
日语应试
