日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Cache EngineとContent Engineは、HTTP経由で取得されたワールドワイドWebページに対して透過的なキャッシュを提供します。これらの製品は、HTTPSなどのさまざまなプロトコルをサポートするプロキシサーバへの要求を透過的に代行受信するように設定することもできます。プロキシ機能のデフォルト設定を悪用して、到達可能な宛先IPアドレスへのTCP接続を開き、接続の実際のIP送信元アドレスを非表示にすることができます。この動作は、迷惑な商用Eメールの送信、不正なネットワークスキャン、サービス拒否攻撃など、さまざまな望ましくない、または潜在的に違法な活動に関係しています。
この問題を引き起こす可能性のある脆弱性は2つあります。
-
HTTPプロキシの脆弱性は、コードを修正バージョンにアップグレードすることで解決できます。
-
HTTPSプロキシの脆弱性は、該当するデバイスの設定を変更することで、フィールドで解決できます。
ソフトウェアの修正済みバージョンは、デフォルトでより安全な設定を提供するように修正されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020515-transparent-cache-tcp-relayから入手できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次のCisco Cache EngineおよびContent Engine製品は、指定されたバージョンのソフトウェアを実行している場合に影響を受けます。
-
Content Engine 507、510、560、565、590、7305、7320または7325(キャッシュソフトウェア2.x、3.1、4.0.x、4.1.x、4.2.x、5.0.x、5.1.xを実行)
-
ソフトウェアバージョン2.2.0以降を実行するCache Engine 505、550、または570
-
ACNS 4.xを実行するコンテンツルータCR-4430
-
ACNS 4.xを実行するContent Distribution Manager(CDM)CDM-4630またはCDM-4650
-
Ciscoルータ2600、3600、および3700用Content Engineモジュール
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
HTTPSプロキシの脆弱性には、Cisco Bug ID CSCdx05705が割り当てられています。このバグは、デフォルト設定を変更して、管理者が許可トラフィックを指定する必要があることを確認します。
プロキシされた要求を処理する機能は、Cache Engineソフトウェアのバージョン2.2.0で追加されました。詳細については、/en/US/products/sw/conntsw/ps547/prod_release_note09186a00800ea835.html#xtocid71711のリリースノートを参照してください。
リモートWebサーバからページをキャッシュするだけでなく、キャッシュソフトウェアは、FTPやHTTPSなどサポートされているさまざまなプロトコルを使用して、他のプロキシサーバのデータをキャッシュすることもできます。この機能はデフォルトで有効になっています。プロキシHTTPSサービスはさまざまなポートで使用できるため、クライアントはデバイスに対して、到達可能な任意のIPアドレスとポートへのTCP接続を開くように指示できます。
バージョン2.xを実行するCache Engineがトランスペアレントリダイレクションを使用せずにHTTPSプロキシサーバとして設定されている場合、設定およびブートプロセス中に次の警告が表示されます。
It is recommended to set restrictions that allow or deny HTTPS traffic to Destination Ports. Default settings may not provide the desired security level.
この警告は、デバイスがトランスペアレントモードで動作している場合は表示されません。また、ソフトウェアバージョン3.xおよび4.xを実行している場合は表示されません。
この問題は、HTTPSプロキシが有効な場合のデフォルトの動作を変更して、宛先ポート番号に基づいて接続を制限し、1024(443と563を除く)未満のポートへの接続を拒否することで解決されています。
HTTPプロキシの脆弱性にはCisco Bug ID CSCeb19815が割り当てられています。このバグは新しい「http destination-port <deny|allow> <all|port ranges>」コマンドを導入し、デフォルト設定を変更して、管理者が許可トラフィックを指定する必要があることを確認します。
HTTPプロキシの脆弱性は、宛先ポート番号に基づいてHTTP接続が制限され、予約ポート(1 ~ 79および88 ~ 1024)への接続が拒否されるようにデフォルトの動作を変更することで解決されています。
回避策
4.2(11.3)、5.0(5.2)、および5.1(0.190)より前のHTTPプロキシの脆弱性に対する回避策はありません。これらのバージョンではデフォルトの動作が変更されているため、これらのバージョン以上では他の設定は必要ありません。
HTTPSプロキシの問題は、443以外のポートに対するリダイレクトされたプロキシ要求の使用をブロックする設定コマンドによって解決できます。
https destination-port allow 443 https destination-port deny all
HTTPSプロキシがインストールに必要ない場合は、上記の回避策から「https destination-port allow 443」コマンドを除外できます。
修正済みソフトウェア
HTTPプロキシの脆弱性は、ACNS 4.2(11.3)、5.0(5.2)、および5.1(0.190)にアップグレードすることで修正できます。これらのバージョンでは、HTTP宛先ポートを制御する新しいコマンドが導入され、デフォルト設定が修正されています。
HTTPSプロキシの脆弱性は、デバイスの設定を変更することで、現場のお客様が修正できます。HTTPSの脆弱性に対処するためにソフトウェアをアップグレードする必要はありません。
両方の脆弱性に対するデフォルトの動作は、ACNS 4.2(11.3)、5.0(5.2)、5.1(0.190)で修正されており、将来のすべてのバージョンに適用されます。
不正利用事例と公式発表
Cisco PSIRTは、Cisco Cache EngineまたはContent Engineが、迷惑な商用Eメールを送信し、メッセージの本当の発信元を隠すために悪用されたいくつかの事例を認識しています。
URL
改訂履歴
|
Revision 2.0 |
2004年1月5日 |
HTTP脆弱性(CSCeb19815)を追加。「概要」、「詳細」、「修正済みソフトウェア」、「回避策」の各セクションを更新。 |
|
リビジョン 1.1 |
2002年5月28日 |
「詳細」セクションを更新。 |
|
リビジョン 1.0 |
2002年5月15日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。