SSHの不正なパケットの脆弱性

ダウンロード オプション

  • PDF     (404.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (76.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2002 年 12 月 19 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

severity
severity
アドバイザリーID : cisco-sa-20021219-ssh-packet
初公開日 : 2002-12-19 23:00
バージョン 1.7 : Final
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Secure Shell(SSH)サーバのサポートを含む特定のシスコ製品は、デバイスでSSHサーバが有効になっている場合、サービス拒否(DoS)の影響を受けやすくなります。該当するデバイス宛ての不正なSSHパケットにより、デバイスのリロードが引き起こされる可能性があります。該当するデバイスでパケットが受信されるには、認証は必要ありません。Cisco IOS®のSSHサーバはデフォルトで無効になっています。

シスコでは、問題を修正するための無償ソフトウェアをできる限り早急に提供する予定です。

不正な形式のパケットは、Rapid7, Inc.のSSHredderテストスイートを使用して生成できます。回避策があります。Cisco PSIRTでは、この脆弱性の不正利用は確認していません。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20021219-ssh-packetで確認できます。

該当製品

このセクションには、該当製品に関する詳細が掲載されています。

脆弱性のある製品

SSHサーバのサポートを含む複数のシスコ製品は、SSHサーバが有効になっていると脆弱性の影響を受けます。

脆弱性が存在するシスコ製品は次のとおりです。

  • 該当するバージョンのCisco IOSが稼働しているCiscoルータおよびCatalystスイッチ(下記「ソフトウェアバージョンと修正」セクションを参照)
  • Cisco WebNS 5.10、5.20、または7.10を実行するCiscoコンテンツサービススイッチモデルCSS11501、CSS11503、およびCSS11506
  • 12.00Tまたは12.01Tを実行しているCisco Aironet 1200シリーズアクセスポイント
  • 12.00Tまたは12.01Tを実行しているCisco Aironet 350シリーズアクセスポイント
  • 12.00Tまたは12.01Tを実行しているCisco Aironet 340シリーズアクセスポイント
  • 12.00Tまたは12.01Tを実行しているCisco Aironet 350シリーズワイヤレスブリッジ
  • Cisco PIX ファイアウォール
  • Cisco ONS製品:ONS15454、ONS15327、ONS15600
  • Cisco Catalyst 6500スイッチおよびCisco 7600シリーズルータ用ファイアウォールサービスモジュール(FWSM)

脆弱性を含んでいないことが確認された製品

脆弱性存在しないことが確認されているSSHサーバ機能を含むシスコ製品は、次のとおりです。

  • Cisco CatOSが稼働するCisco Catalystスイッチ
  • Cisco VPN3000シリーズコンセントレータ
  • Cisco Secure Intrusion Detection System(NetRanger)アプライアンス
  • Cisco Secure Intrusion Detection System(IDS)Catalystモジュール
  • Cisco SN5400シリーズストレージルータ
  • CiscoWorks 1105 Wireless LAN Solution Engine(WLSE)
  • CiscoWorks 1105 Hosting Solution Engine(HSE)
  • Cisco ONS製品:ONS15310
  • Cisco ONS製品:ONS15530、ONS15540

詳細

Secure Shell(SSH)プロトコルの実装をテストするために、巧妙に細工されたパケットのスイートが開発されました。SSHサーバが有効になっている場合、いくつかのテストケースでは、認証プロセスが呼び出される前にデバイスの強制的なリロードが発生します。巧妙に細工されたパケットの1つを使用して該当するシスコデバイスにSSH接続が試行されるたびに、デバイスがハングまたはリブートする可能性があります。

Cisco IOS ソフトウェア

SSHサーバ機能は、Cisco IOSリリーストレイン12.0S、12.0ST、12.1T、12.1E、12.2、12.2T、12.2Sで使用できます。SSHサーバ機能を持つすべてのリリースは、コンフィギュレーションモードでcrypto key generate rsaコマンドを発行してSSHサーバを有効にすると脆弱になります。

Cisco 3550を除き、脆弱性のあるバージョンのCisco IOSを実行しているすべての製品は、クラッシュ後に自動的にリロードされ、サービスを再開します。Cisco 3550はリロードしないため、通常の処理を再開するには手動による介入が必要です。

複数のCisco IOS不具合が検出されました。CSCdz60229、CSCdy87221、およびCSCdu75477として文書化されています。

Ciscoコンテンツスイッチングソフトウェア

脆弱性のあるバージョンのCisco WebNSソフトウェアを実行しているCisco Content Services Switch(CSS;コンテントサービススイッチ)では、サービスのリロードと再開が行われます。

このシスコの不具合は、DDTS CSCdz62330で文書化されています。

Cisco Aironetソフトウェア

SSHサーバ機能は、Aironetソフトウェアのバージョン12.00Tで機能として導入されました。脆弱性が存在するのは、バージョン12.00Tと12.01Tだけです。脆弱性が存在するこれらのバージョンのCisco Aironetソフトウェアを実行しているCisco Aironetアクセスポイントデバイスでは、サービスのリロードと再開が行われます。

このシスコの不具合は、DDTS CSCdz66748で文書化されています。

Cisco PIX ファイアウォール

不正なSSHパケットによって、PIXがリロードする可能性があります。状況によっては、CiscoWorks 2000を使用してSSH経由でPIXを監視すると、PIXのリロードが発生する場合があります。

このシスコの不具合は、DDTS CSCdz07673で文書化されています

Cisco ONS製品

不正なSSHパケットにより、ONS製品がリロードされる可能性があります。SSHサーバ機能は、ONSシステムソフトウェアのバージョン4.6.0で機能として導入されました。バージョン4.6.0、4.6.1、および4.7.0に脆弱性が存在します。

このシスコの不具合は、DDTS CSCed38362で文書化されています。

Cisco Firewall Services Module(FWSM)

不正なSSHパケットにより、FWSMがリロードする可能性があります。状況によっては、CiscoWorks 2000を使用してSSH経由でFWSMを監視すると、FWSMのリロードが発生する場合があります。

このシスコの不具合は、DDTS CSCeb16775で文書化されています。

回避策

Cisco IOS ソフトウェア

回避策には、SSHサーバを無効にする、リモートアクセス方式としてSSHを削除する、信頼できるホストだけがサーバに接続できるようにする、外部メカニズムを介してデバイスへのSSHトラフィックを完全にブロックするなどの方法があります。

caution 注意:  次の回避策は、デバイス認証にRSAキーペアを使用するデバイスや、これらのRSAキーペアに基づく証明書を使用するデバイスで終端するIPSECセッションに対して、望ましくない副作用を及ぼします。他の認証方式を使用するIPSECセッションは影響を受けません。

Cisco IOSでは、コンフィギュレーションモードでコマンドcrypto key zeroize rsaを適用することでSSHサーバを無効にできます。SSHサーバは、RSAキーペアの生成時に自動的に有効になります。RSAキーをゼロにすることは、SSHサーバを完全に無効にする唯一の方法です。

Cisco IOS上のSSHサーバへのアクセスも、有効なトランスポートプロトコルとしてSSHを削除することで無効にできます。これは、コンフィギュレーションモードでVTY回線上の許可されたトランスポートのリストから「ssh」を削除した状態でtransport inputコマンドを再適用することで実行できます。例: 

line vty 0 4                                                                    
  transport input telnet                                                        
end

SSHサーバの機能が必要な場合は、次のURLに示すように、VTY回線のアクセスコントロールリスト(ACL)を使用して、サーバへのアクセスを特定の送信元IPアドレスに制限するか、完全にブロックすることができます。

/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html#xtocid14

ACLの設定の詳細については、シスコのパブリックWebサイトを参照してください。

http://www.cisco.com/warp/public/707/confaccesslists.html

VTYアクセスリストの例は次のとおりです。 

access-list 2 permit 10.1.1.0 0.0.0.255
access-list 2 deny any

line vty 0 4
access-class 2 in
end

Cisco Aironetソフトウェア

Cisco Aironetアクセスポイントは、アクセスポイントに対する攻撃を緩和するために使用できるIPポートフィルタ機能を提供します。IPポートフィルタの設定については、『アクセスポイント設定ガイド:

http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo_350/accsspts/ap350scg/ap350ch5.htm

また、TCPポート22へのトラフィックをブロックするファイアウォールやルータなどの外部パケットフィルタリングデバイスを使用して、デバイスの着信SSH接続をブロックすることもできます。

Cisco PIX ファイアウォール

PIX SSHインターフェイスへのアクセスを制限して、信頼できるホストからの接続のみを許可するか、代わりにHTTPSを使用するか、またはその両方を行います。CiscoWorksにTelnetを使用してPIXに接続させ、PIX Telnetインターフェイスへのアクセスを制限してCiscoWorksワークステーションからの接続のみを許可させます。

Cisco ONS製品

TCPポート22へのトラフィックをブロックするファイアウォールやルータなどの外部パケットフィルタリングデバイスを使用して、ノードの着信SSH接続をブロックします。

Cisco Firewall Services Module(FWSM)

FWSM SSHインターフェイスへのアクセスを制限して、信頼できるホストからの接続のみを許可するか、代わりにHTTPSを使用するか、またはその両方を行います。CiscoWorksにTelnetを使用してPIXに接続させ、PIX Telnetインターフェイスへのアクセスを制限してCiscoWorksワークステーションからの接続のみを許可させます。

修正済みソフトウェア

Cisco IOS ソフトウェア

SSHサーバ機能は、Cisco IOSリリース12.0(5)S、12.0(16)ST、12.1(1)T、12.1(5a)E、12.2(1)、12.2(1)T、12.2(1)S以降で使用できます。SSH機能が有効になっている場合、これらのバージョンはすべて脆弱です。

Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリース(「最初の修正リリース」)とそれぞれの提供予定日が「リビルド」、「暫定」、および「メンテナンス」の各列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。

メンテナンス

表の特定の行のリリーストレインについて、最も頻繁にテストされ、安定しており、強く推奨されるリリース。

リビルド

同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。

Interim

メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、CCOからダウンロードできません。

すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。

Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。

修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。

ソフトウェアのインストールおよびアップグレード手順については、http://www.cisco.com/warp/public/130/upgrade_index.shtmlを参照してください。

Cisco IOSのすべてのポスト済みイメージと修復済みイメージの現在のビューについては、次のCCO登録ユーザが使用できるリストを確認してください。

トレーニングまたはリリース

説明またはプラットフォーム

最初の修正済みリリースの提供*

12.0 リリース

リビルド

暫定

メンテナンス

12.0S

コア/ISPサポート:GSR、RSP、c7200

12.0(21)S6

    

2003年1月27日

12.0(22)S4

    

2003年3月

12.0(23)S2

    

2003年2月17日

12.0ST

Early Deploymentリリース

12.0(20)ST7

    

2003年1月27日

12.0(21)ST6

    

2003年2月3日

12.1 リリース

リビルド

暫定

メンテナンス

12.1E

Early Deploymentリリース

12.1(13)E3

    

CCO上

12.1(14)E1

    

2003年2月

12.1EA

Early Deploymentリリース

12.1(13) EA1

    

2003年3月

    

12.1T

すべての主要プラットフォームの早期導入リリース

Vulnerable

計画外

12.2 リリース

リビルド

暫定

メンテナンス

12.2

すべてのプラットフォームのメジャーリリース

12.2(12b)

    

CCO上

12.2(13a)

    

2003年2月7日

12.2S

コアISPサポート

    

12.2(14)S

2003年1月27日

12.2T

すべての主要なプラットフォームを早期導入リリース

12.2(11)T3

    

CCO上

12.2(13)T1

    

2003年2月3日

*すべての日付は暫定的なものであり、変更されることがあります。

**暫定リリースは、メンテナンスリリースまたはリビルドリリースよりもテストの対象が少なくなります。暫定リリースのラベルは、脆弱性のある既存の暫定リリースを特定するために提供されます。最初の修正済み暫定リリースは、他の適切なリリースが利用できない場合にのみ使用してください。

Ciscoコンテンツスイッチングソフトウェア

この脆弱性はCisco WebNSソフトウェアで修正されており、現在のスケジュールに従って、2003年1月にダウンロードが可能になります。5.20.0.06sおよび7.10.0.06sの暫定ソフトウェアリリースは、現在ダウンロードできます。

Cisco Aironetソフトウェア

この脆弱性は、Cisco Aironetソフトウェアリビルドバージョン12.01T1で修正されています。このソフトウェアは、2003年1月下旬に利用可能になる予定で、Software Centerからダウンロードできます。

Cisco PIX ファイアウォール

この脆弱性は、ソフトウェアバージョン6.0(4.101)、6.1(5)、6.2(3)、および6.3(1)で修正されています。

Cisco ONS製品

この脆弱性は、ソフトウェアバージョン4.6.2、5.0.0以降のリリースで修正されています。

Cisco Firewall Services Module(FWSM)

この脆弱性は、ソフトウェアバージョン2.2(1)で最初に修正されています。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRTでは、この脆弱性が悪用された事例は確認していません。このRapid7, Inc.からの巧妙に細工されたパケットのスイートは、CERT/CCアドバイザリCA-2002-36によって公開されており、研究者のWebサイトから入手できます。シスコは当初、スイートの初期テストに基づく脆弱性がないとCERT/CCアドバイザリに記載されていましたが、社内テストを継続した結果、一部の製品に脆弱性が存在することが判明しました。

URL

改訂履歴

リビジョン番号1.7

2005年10月19日

該当製品」、「詳細情報」、「ソフトウェアバージョンと修正」、「回避策」の各セクションに、Cisco Firewall Services Module(FWSM)を追加。

リビジョン番号1.6

2005年10月12日

該当製品」、「詳細」、「ソフトウェアバージョンと修正」、「回避策」のセクションにCisco ONS製品リファレンスを追加。

リビジョン番号1.5

2003年10月28日

ソフトウェアリリース12.1EAのエントリを更新

リビジョン番号1.4

2003年10月13日

Cisco PIX Firewallのステータスを修正しました。影響を受けるものに変更しました。

リビジョン番号1.3

2003年1月24日

Aironetデバイスの修正済みソフトウェアを更新、ステータスをFinalに変更

リビジョン番号1.2

2003年1月16日

影響を受ける製品と修正済みソフトウェアのリストを更新し、コンテンツサービススイッチとワイヤレスアクセスポイントを追加

リビジョン番号1.1

2002年12月20日

該当製品のリストを更新し、HSEとWLSEを追加

リビジョン番号1.0

2002-December-19

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。