PROTOS SIPテストスイートによって発見された複数の製品の脆弱性

複数のシスコ製品に、Session Initiation Protocol(SIP)INVITEメッセージ処理の脆弱性が存在します。これらの脆弱性は、University of Oulu Secure Programming Group(OUSPG)のSIP向け「PROTOS」テストスイートによって特定されており、繰り返し不正利用されてサービス拒否が引き起こされる可能性があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030221-protosで確認できます。

SIPは、IPを介したマルチメディア会議に関するInternet Engineering Task Force（IETF；インターネット技術特別調査委員会）標準です。SIPは、ASCIIベースのアプリケーション層制御プロトコル（RFC 2543および3261で定義）であり、2つ以上のエンドポイント間のコールの確立、維持、および終了に使用できます。

特定された脆弱性は、SIP用のOUSPG「PROTOS」テストスイートを使用して簡単かつ繰り返し実証できます。このスイートは、SIPプロトコル、特に2つのSIPエンドポイント間の初期コール設定で使用されるSIP INVITEメッセージの実装に関する設計上の制限をテストするように設計されています。

Cisco IP Phoneモデル7940および7960は、バッファオーバーフローおよび無効なヘッダーの不適切な処理が原因で、このテストスイートを介したネットワークベースのサービス拒否(DoS)攻撃に対して脆弱です。これらの脆弱性は、Cisco Bug ID CSCdz26317、CSCdz29003、CSCdz29033、およびCSCdz29041として文書化されています。

12.2Tトレインまたは任意の12.2「X」トレインのCisco IOSバージョンを実行するデバイスは、SIPフィールドの不適切な処理が原因でリセットする可能性があります。これらの脆弱性は、Cisco Bug ID CSCdz39284およびCSCdz41124に記載されています。CSCdz39284に対して脆弱になるには、デバイスで脆弱なバージョンのIOSが実行されており、SIPゲートウェイとして設定されている必要があります。ただし、NATを実行するように設定されているCisco IOSの脆弱性が存在するバージョンを実行しているデバイスは、SIPでUDPをトランスポートとして使用している場合にCSCdz41124に対して脆弱になります。

フラグメント化されたSIP INVITEメッセージを受信すると、Cisco PIX Firewallがリセットされる場合があります。SIPフィックスアップはフラグメント化されたSIPメッセージをサポートしないため、SIPフラグメントをドロップするように解決されています。この脆弱性は、Cisco Bug ID CSCdx47789に記載されています。

SIP経由でIPテレフォニーを実装しているお客様の場合、これらの不具合のほとんどに対する回避策はデバイス上に直接存在しません。Cisco PSIRTでは、修正が取り込まれたソフトウェアバージョンにアップグレードすることをお勧めします。

ただし、SIP対応デバイスを通過させるためにSIPトラフィックを必要とするセグメントだけにトラフィックを分割することで、SIP対応デバイスの露出を制限できる場合があります。これは、送信元ポートまたは宛先ポートが5060のUDPトラフィックと、送信元ポートまたは宛先ポートが5060および5061のTCPトラフィックの両方をブロックできるファイアウォールやルータアクセスリストなどのトラフィックブロッキングメカニズムを介して実行できます。通常と同様に、他のローカルの正当な非SIPトラフィックがデフォルトポートを使用しようとしているかどうかを調査することが重要です。これらのポートは、完全にブロックされる前に、SIPも使用する可能性があります。

同様に、SIPプロトコルにNATが必要でない限り、一般的なNATサービスを実行するように設定された脆弱なバージョンのCisco IOSを実行しているデバイスは、入力アクセスリストを実装するだけで、送信元ポートまたは宛先ポートが5060のUDPトラフィックをブロックすることによってSIPトラフィックの変換を防止できます。

Cisco Secure PIXソフトウェアバージョン6.2を実行しているお客様は、設定によってはSIPフィックスアップ機能を無効にできる場合があります。詳細については、http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/df.html#wp1067379の「使用上のガイドライン」セクションを参照してください。

Cisco IP SIP電話

この脆弱性は、Cisco IP Phone SIPイメージP0S3-04-2-00以降で修正されています。

Cisco Secure PIXファイアウォール

この脆弱性は、Cisco Secure PIXソフトウェアバージョン5.2.9、6.0.4、6.1.4、および6.2.2以降で修正されています。

Cisco IOS

Cisco IOS ソフトウェアの表（下掲）の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリース（「最初の修正リリース」）とそれぞれの提供予定日が「リビルド」、「暫定」、および「メンテナンス」の各列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。

リリースを選択するときは、次の定義を念頭においてください。

• メンテナンス- 表の該当行のリリース群のうち、十分にテストされて安定しているため、強く推奨されるリリース。
  
• 再構築- 同じリリース群の以前のメンテナンス リリースまたはメジャー リリースから構築されたリリース。特定の障害に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
  
• 暫定- メンテナンス リリース間に定期的に構築されるリリース。厳密なテストは実施されていません。暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACと事前に調整を行わないと、CCOからダウンロードできません。
  

すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。

Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。

修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。

Cisco PSIRTでは、これらの脆弱性が悪用された事例は確認していません。このアドバイザリは、CERT Coordination Centerなどの他の組織からの発表と同時に公開されます。