日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
このアドバイザリでは、Internet Information Server(IIS)を組み込んだMicrosoftのオペレーティングシステムにインストールされているシスコの製品やアプリケーションに影響を与える脆弱性について説明します。IISの脆弱性に基づいており、シスコの製品やアプリケーションの不具合が原因ではありません。
攻撃者が任意のコードを実行したり、サーバに対してサービス拒否(DoS)を実行したりすることを可能にする多数の脆弱性が発見されました。これらの脆弱性は、MicrosoftのMicrosoftセキュリティ情報MS02-018で発見され、公開されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020415-ms02-018で確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
Microsoft IISを使用しているすべてのシスコ製品およびアプリケーションに脆弱性が存在します。
製品に脆弱性があるかどうかについては、以下のリストを確認してください。ソフトウェア バージョンまたは設定情報が示されている場合は、その組み合せにのみ脆弱性があります。
-
Cisco CallManager 3.0、3.1、3.2
-
Cisco ICS 7750
-
Cisco Unity
-
Cisco Building Broadband Service Manager 4.x、5.x
-
Cisco uOne Enterprise Edition
-
Cisco Network Registrar(CNR)
-
Cisco Intelligent Contact Manager(ICM)
次のシスコ製品は、さまざまなWebサーバにインストールされている可能性があり、Microsoft IISサーバにインストールされている場合に脆弱性が存在します。
-
Cisco Collaboration Server(CCS)
-
Cisco Dynamic Content Adapter(DCA)
-
Cisco Media Blender(CMB)
-
TrailHead(Web Gateway ソリューションの一部)
さまざまなシスコネットワーク管理製品が、脆弱なバージョンのIISを実行しているMicrosoftプラットフォームにインストールされている可能性があります。CiscoWorks 2000 RWAN/CWSI Campus v2.xおよびCisco Voice Manager v1.xの古いバージョンは、インストールの一部としてIISが必要であったため、脆弱性が直接存在します。このようなシステムでは、デフォルトポートでHTTPサービスを提供している可能性があります。これらの特定のソフトウェアパッケージはサポートされなくなりましたが、まだ使用している可能性のあるお客様に警告するためにこの通知に含まれています。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Microsoft Internet Information Server(IIS)の実装は、バッファオーバーフローおよびDoS攻撃に対して脆弱です。これらの脆弱性は、コンピュータシステム上で任意のコードを実行したり、サーバの通常の動作を中断したりするために不正利用される可能性があります。
脆弱性の詳細については、http://www.microsoft.com/technet/security/Bulletin/MS02-018.mspxを参照してくだ
さい。
回避策
シスコでは、これらの脆弱性に対して利用可能な回避策を認識しておらず、推奨パッチの適用を強く推奨します。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco CallManager
|
該当バージョン |
修正済み正規リリース(現在利用可能)以降のすべてのバージョンに修正が適用されます。 |
|
バージョン 3.0 |
Software Center(登録ユーザ専用)からwin-OS-Upgrade.2000-1-3spA.exeをインストールします。 |
|
バージョン 3.1 |
Software Center(登録ユーザ専用)からwin-OS-Upgrade.2000-1-3spA.exeをインストールします。 |
|
バージョン 3.2 |
Software Center(登録ユーザ専用)からwin-OS-Upgrade.2000-1-3spA.exeをインストールします。 |
Cisco Unity
|
該当バージョン |
修正済み正規リリース(現在利用可能)以降のすべてのバージョンに修正が適用されます。 |
|---|---|
|
すべてのバージョン |
MS02-018のパッチをインストールします。
|
Cisco Building Broadband Service Manager
|
該当バージョン |
修正済み正規リリース(現在利用可能)以降のすべてのバージョンに修正が適用されます。 |
|---|---|
|
バージョン4.x |
MS02-018のパッチをインストールします。
|
|
バージョン5.x |
MS02-018のパッチをインストールします。
|
Cisco Intelligent Contact Manager(ICM)
|
該当バージョン |
修正済み正規リリース(現在利用可能)以降のすべてのバージョンに修正が適用されます。 |
|---|---|
|
すべてのバージョン |
MS02-018のパッチをインストールします。
|
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の悪用に関する情報は Cisco PSIRT に寄せられていません。このドキュメントで説明されている脆弱性は、メーリングリストや他の情報源からリリースされたセキュリティアドバイザリで公開されています。
URL
改訂履歴
|
リビジョン 1.1 |
2002年4月16日 |
「該当製品」からCisco E-mail Managerを削除し、Cisco ICMの修正を追加。 |
|
リビジョン 1.0 |
2002年4月15日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。