日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
メディアゲートウェイコントローラ(MGC)製品は、Solarisオペレーティングシステム上にインストールされます。デフォルトのインストールでは、Solarisにはいくつかの既知のセキュリティ脆弱性があります。不正利用を防ぐには、更新パッケージCSCOh007およびCSCOh013をインストールする必要があります。これらのパッケージには、最新のSolarisパッチとSolaris OSの強化が含まれています。
これらの脆弱性は不正利用されており、PSIRTはSC2200を実行しているお客様のシステムが侵害された事例をいくつか把握しています。
Solarisをベースにした他の製品も調査中です。
回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020807-solaris-mgcで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次の製品が影響を受けます。
|
SC2200 |
Solaris 2.6が稼働するすべてのシステム(リリース7.4(x)まで) |
|
VSC3000 |
Solaris 2.6が稼働するすべてのシステム(リリース9.1(x)まで) |
|
PGW 2200 |
Solaris 2.6が稼働するすべてのシステム(リリース9.1(x)まで) |
|
Billing and Management Server(BAMS) |
Solaris 2.6 が稼働するすべてのシステム |
|
Voice Services Provisioning Tool(VSPT) |
Solaris 2.6 が稼働するすべてのシステム |
その他のSolarisベースの製品も調査中です。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
このアドバイザリでは、次の問題を取り上げます。
-
Solaris OS用の最新の検証済みパッチのインストール
-
デフォルトのSolaris OSインストールのセキュリティー保護
-
コンピュータ侵害の兆候の検出
アプリケーションの安定性を保証するために、シスコは、すべての新しいパッチをインストールして回帰テストを実行する必要があります。すべての新しいSolarisパッチを評価し、システム全体の重大度に応じて、定期的またはテスト終了後に新しいパッチを提供します。
シスコでは、Solarisのバージョンに応じて異なるパッチバンドルを提供しています。Solaris 2.6用のパッチは、パッケージCSCOh007.pkgに含まれています。
2番目の問題は、デフォルトのSolarisインストールのセキュリティです。デフォルトでは、Solarisは多数のサービスがインストールされた状態でインストールされます。一部のサービスにはセキュリティ上の問題があることが知られています。セキュリティ上の問題を最小限に抑えるため、CSCOh013.pkgパッケージを使用してこれらのサービスを無効にすることを強くお勧めします。
提供されたパッチとスクリプトは、コンピュータがすでに侵害された場合には役に立ちません。コンピュータが侵害されたかどうかを確認するには、http://www.cert.org/security-improvement/modules/m09.htmlのドキュメントを参照してください。この問題に関して疑問がある場合は、TACでケースをオープンし、結果の詳細な説明を求めることができます。コンピュータが侵害されないことを保証する唯一の方法は、Solarisとアプリケーションを最初から再インストールすることです。
回避策
回避策はありません。パッケージCSCOh007.pkgおよびCSCOh013.pkgで自動化されるすべての手順を実行できますが、シスコでは実行しないことを強く推奨します。ソリューションの安定性を保証するために、シスコは回帰テストを実行する必要があります。サブシステムを取り外したり、パッチをインストールしたりすると、システムが不安定になったり、動作しなくなることがあります。
修正済みソフトウェア
この問題は、次のパッケージで解決されています。
|
SC2200 |
7.4(x)以前のすべてのリリース |
MGCSL-h007.binおよびMGCSL-h013.bin |
|
VSC3000 |
リリース9.1(x)以前のすべてのリリース |
MGCSL-h007.binおよびMGCSL-h013.bin |
|
PGW 2200 |
リリース9.1(x)以前のすべてのリリース |
MGCSL-h007.binおよびMGCSL-h013.bin |
|
Billing and Management Server(BAMS) |
Solaris 2.6 が稼働するすべてのシステム |
MGCSL-h007.binのみ |
|
Voice Services Provisioning Tool(VSPT) |
Solaris 2.6 が稼働するすべてのシステム |
MGCSL-h007.binのみ |
次のソフトウェア リンクにアクセスするには、登録ユーザであり、ログインしている必要があります。
脆弱性は基盤となるオペレーティングシステムに存在するため、お客様はアプリケーションの変更やアップグレードを行う必要はありません。更新されたパッケージは、MGCSOL-h007.bin(CSCOh007.pkg)とMGCSOL-h013.bin(CSCOh013.pkg)です。バージョンは1.0.7です。
次のリンクにアクセスするには、登録ユーザであり、ログインしている必要があります。
上記の製品をご使用のお客様は、http://www.cisco.com/pcgi-bin/tablebuild.pl/mgc-solを定期的にチェックして、上記製品で使用される Solaris OS に該当するアップデートが提供されていないかを確認する必要があります。これらのSolarisパッケージの適用手順については、『Cisco MGC Software Release (7 or 9) Installation & Configuration Guide』で説明されています。「Installing the Operating System Software」というタイトルのセクションを参照してください。
これらの Solaris ソフトウェア パッケージを見つけやすくするため、この情報は Voice Software Center の Media Gateway Controller、BAMS および VSPT の該当する各ソフトウェア リリースにもリンクしています。この情報は、http://www.cisco.com/public/sw-center/sw-voice.shtml で参照できます。
Solaris 2.6パッケージのリリースノートは、http://www.cisco.com/univercd/cc/td/doc/product/access/sc/rel9/relnote/sol26rn.htmにあります。
推奨事項
不正利用事例と公式発表
Solarisの既知の脆弱性を利用して、少数のお客様がコンピュータのセキュリティを侵害しました。PSIRTには、これらのコンピュータが果たしている役割が原因で標的にされたという証拠はありません。侵入はコンピュータの本当の目的を忘れているようです。
URL
改訂履歴
|
リビジョン 1.0 |
2002年1月16日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。