Cisco IOS XR SoftwareのIntermediate System-to-Intermediate Systemにおけるサービス拒否の脆弱性

high Nessus プラグイン ID 127900

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません

説明

自己報告されたバージョンによると、CSCvk35997ソフトウェアは複数の脆弱性の影響を受けます。

- Cisco IOS XR SoftwareのIntermediate System-to-Intermediate System（IS-IS）ルーティングプロトコル機能実装の脆弱性により、同じIS-IS領域にいる認証されていない攻撃者がサービス拒否（DoS）状態を引き起こす可能性があります。この脆弱性は、細工されたIS-IS Link-Stateプロトコルデータユニット（PDU）の不適切な処理によるものです。
攻撃者がこの脆弱性を悪用し、細工されたLink-State PDUを、影響を受けるシステムに送信して処理させる可能性があります。悪用に成功すると、攻撃者がIS-IS領域内のすべてのルーターにIS-ISプロセスを予期せず再起動させ、DoS状態を引き起こす可能性があります。Ciscoデバイスがリリース6.6.3以前のCisco IOS XRソフトウェアの脆弱なリリースを実行していてIS-ISルーティングプロトコルで構成されている場合、この脆弱性はCiscoデバイスに影響を与えます。Ciscoは、この脆弱性がCisco IOS XR 32ビットソフトウェアとCisco IOS XR 64ビットソフトウェアの両方に影響を与えることを確認しています。（CVE-2019-1910）

- Cisco IOS XR SoftwareのIntermediate System-to-Intermediate System（IS-IS）ルーティングプロトコル機能実装の脆弱性により、同じIS-IS領域にいる認証されていない攻撃者がサービス拒否（DoS）状態を引き起こす可能性があります。この脆弱性は、IS-IS Link-Stateプロトコルデータユニット（PDU）の不適切な処理によるものです。
攻撃者がこの脆弱性を悪用し、特定のLink-State PDUを、影響を受けるシステムに送信して処理させる可能性があります。悪用に成功すると、攻撃者は偏ったリモートの共有リスクリンクグループ（SRLG）またはIGPフレキシブルアルゴリズムで使用される計算を誤らせる可能性があります。また、ログへのトレースバックを引き起こしたり、受信デバイスにIS-ISプロセスをクラッシュさせたりして、結果的にDoS状態になる可能性があります。（CVE-2019-1918）

詳細については、付属のCisco BIDおよびCisco Security Advisoryを参照してください