Cisco OpenSSL実装の脆弱性

SSLのOpenSSL実装における新しい脆弱性が2004年3月17日に発表されました。

該当するOpenSSL実装に基づいてSSLサーバを実行している該当するネットワークデバイスは、サービス拒否(DoS)攻撃に対して脆弱な可能性があります。このアドバイザリの回避策セクションには、この脆弱性がシスコ製品に及ぼす影響を軽減するための回避策が記載されています。シスコは修正済みソフトウェアを提供しており、利用可能になった時点でアップグレードすることを推奨します。

このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040317-openssl に掲載されています。

Secure Sockets Layer(SSL)は、TCPセッション経由で転送されるデータを暗号化するために使用されるプロトコルです。シスコ製品のSSLは主に、デフォルトのTCPポートが443であるHyperText Transfer Protocol Secure(HTTPS)Webサービスで使用されます。上記の該当製品は、HTTPSサービスが有効になっており、このサービスへのアクセスが信頼できるホストやネットワーク管理ワークステーションに限定されていない場合にのみ脆弱です。これらのデバイスは通過トラフィックに対して脆弱ではなく、そのデバイス宛てのトラフィックのみがこの脆弱性を不正利用する可能性があります。

HTTPSサービスが有効になっているかどうかを確認するには、次の手順を実行します。

1. デバイスの設定をチェックして、HTTPSサービスのステータスを確認します。
   
2. https://ip_address_of_device/のようなURLを使用して、SSLをサポートする標準のWebブラウザを使用してデバイスに接続してみてください。
   
3. Telnet.telnet ip_address_of_device 443を使用して、デフォルトのHTTPSポートTCP 443に接続します。セッションが接続されると、サービスが有効になり、アクセス可能になります。
   

OpenSSL開発チームによるテストで、do_change_cipher_spec()関数にヌルポインタが代入されていることが判明しました。リモート攻撃者は、OpenSSLをクラッシュさせる方法でOpenSSLライブラリを使用したサーバに対して、慎重に巧妙に細工されたSSL/TLSハンドシェイクを実行する可能性があります。多くのCisco製品でこのクラッシュが発生すると、デバイスがリロードされます。この脆弱性が繰り返し悪用されると、デバイスに対するサービス拒否(DoS)攻撃が発生します。

Kerberos暗号スイートを使用している場合のSSL/TLSハンドシェイクコードでも、別の欠陥が発見されました。リモート攻撃者は、OpenSSLをクラッシュさせる方法で、Kerberos暗号スイートを使用するように設定されたサーバに対して、慎重に巧妙に細工されたSSL/TLSハンドシェイクを実行する可能性があります。Cisco OpenSSLの実装はいずれもKerberos暗号スイートを使用することが知られていないため、この2つ目の脆弱性の影響を受けません。

NISCCアドバイザリに記載されている3つ目の脆弱性は、古いバージョンのOpenSSL（0.9.6dより前のバージョン）のバグで、Denial of Service(DoS)攻撃につながる可能性もあります。Cisco OpenSSLの実装は、この古いOpenSSLの問題の影響を受けないことが確認されています。

OpenSSLの脆弱性の詳細については、http://www.openssl.org/news/secadv_20040317.txtを参照してください。

• Cisco IOS:Cisco 7100および7200シリーズルータ用の12.1Eリリーストレインの12.1(11)E以降のすべてのIOSソフトウェア暗号化（56iおよびk2）イメージリリースは、この脆弱性の影響を受けます。Cisco Catalyst 6500シリーズおよびCisco 7600シリーズルータ用の12.2SYおよび12.2ZAリリーストレインのすべてのIOSソフトウェア暗号化(k8、k9、k91)イメージリリースは、この脆弱性の影響を受けます。
  IOSのSSH実装は、OpenSSLコードに依存しません。IOSのSSH実装はまだ証明書を処理しないため、SSHにはSSLコードを使用しません。12.1E、12.2SY、および12.2ZAのリリーストレインのOpenSSLは、HTTPSおよびVPN Device Manager(VDM)サービスを提供するためだけに使用されます。
  この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee00041として文書化されています。
  OpenSSLコードを使用するデバイス上のHTTPS Webサービスは、デフォルトで無効になっています。必要に応じて、no ip http secure-serverコマンドを使用して、デバイス上のHTTPS Webサービスを無効にすることができます。
  IOSのSSHおよびIPSecサービスには、この脆弱性の脆弱性はありません。
  
• Cisco PIX Firewall - PIX 6.xリリースはこの脆弱性の影響を受けます。PIX 5.xリリースにはSSLコードが含まれておらず、脆弱性はありません。
  PIXの次の3つの機能はHTTPS機能を活用します。この機能を有効にすると、PIXはこの脆弱性に対して脆弱になります。
  - PIX Device Manager(PDM)またはPIXへのHTTPSアクセスによる管理
  - HTTPSセッションのカットスループロキシ認証およびHTTPセッションのセキュアなカットスループロキシ認証。これはPIXバージョン6.3.xだけに影響します。
  - Easy VPNリモートユーザレベル認証とセキュアユニット認証。これはPIXバージョン6.3.xだけに影響します。
  この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCed90672として文書化されています。
  
• Cisco Catalyst 6500シリーズおよびCisco 7600シリーズルータ用Cisco Firewall Services Module(FWSM)：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee02055として記載されています。
  
• Cisco MDS 9000シリーズマルチレイヤスイッチ：この脆弱性は、Bug ID CSCed96246としてCisco Bug Toolkit(登録ユーザ専用)に記載されています。
  
• Cisco Content Service Switch(CSS)11000および11500シリーズ：WebNSバージョン6.xおよび7.xはこの脆弱性の影響を受けます。WebNSバージョン5.xには、OpenSSLの脆弱性は存在しません。この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にSCM用のBug ID CSCee01234として文書化され、Cisco Bug Toolkit(登録ユーザ専用)にSSLモジュール用のBug ID CSCee01240として文書化されています。
  
• Cisco Global Site Selector(GSS)4480および4490：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee01057として文書化されています。
  
• Cisco Content Service Switch(CSS)Secure Content Accelerator(SCA)バージョン1および2：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee07431として文書化されています。
  
• CiscoWorks Common Services(CWCS)バージョン2.2およびCiscoWorks Common Management Foundation(CMF)バージョン2.1：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCsa13748として記載されています。
  
• Cisco Access Registrar(CAR)：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee01956として記載されています。
  
• Cisco Call Manager(CCM):ソフトウェアバージョン4.0.1以降のみが、この脆弱性の影響を受けます。この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee02193として文書化されています。
  
• Cisco Okena Stormwatch 3.2：この脆弱性は、Bug ID CSCee00866としてCisco Bug Toolkit(登録ユーザ専用)に記載されています。
  
• Cisco Application & Content Networking Software(ACNS)：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee03670として文書化されています。
  
• Cisco Threat Response(CTR)：この脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCee04888として文書化されています。
  

インターネットワーキング用語およびCisco Systems Acronymsのオンラインガイドは、http://www.cisco.com/univercd/cc/td/doc/cisintwk/にあります。

Cisco PSIRTでは、該当するユーザに対して、修正済みソフトウェアバージョンのコードが利用可能になり次第、そのコードにアップグレードすることを推奨しています。

• ネットワークデバイス上のHTTPSサーバへのアクセスを制限します。該当するプラットフォームで使用可能なアクセスリストまたはMACフィルタを使用して、信頼できるワークステーションからのみネットワークデバイスへのアクセスを許可します。
  
• ネットワークデバイスでSSLサーバ/サービスを無効にします。この回避策は、脆弱なデバイスとのセキュアな通信の必要性と比較検討する必要があります。
  

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（「第 1 修正済みリリース」）とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細は、次の URL を参照してください。

http://www.cisco.com/warp/public/620/1.html

• Cisco IOS-
  

  リリーストレイン	修正済みリリース	アベイラビリティ
  12.2ZA	12.2(14)ZA8	ソフトウェアの提供開始日はまだ決定されていません。
  12.2SY	12.2(14)SY4	3月25日
  12.1E	12.1(13)E14	4月8日
  	12.1.(19)E7	4月8日
  	12.1(20)E3	4月26日
  	12.1(22)E	ソフトウェアの提供開始日はまだ決定されていません。

• Cisco PIX Firewall：この脆弱性は、ソフトウェアリリース6.0(4)102、6.1(5)102、6.2(3)107、および6.3(3)124で修正されています。これらのエンジニアリングビルドは、Cisco Technical Assistance Center(TAC)に連絡して入手できます。TACの連絡先情報は、次の「修正済みソフトウェアの入手」セクションに記載されています。
  
• Cisco Catalyst 6500シリーズおよびCisco 7600シリーズルータ用Cisco Firewall Services Module(FWSM)：この脆弱性は、2004年3月26日（金）にリリースされるソフトウェアリリース1.1.3(14)で修正されています。このエンジニアリングビルドは、Cisco Technical Assistance Center(TAC)に連絡して入手できます。TACの連絡先情報は、次の「修正済みソフトウェアの入手」セクションに記載されています。
  
• Cisco MDS 9000シリーズマルチレイヤスイッチ：この脆弱性は、ソフトウェアリリース2.0(0.86)および1.3(3.33)で修正されています。
  
• Cisco Content Service Switch(CSS)11000および11500シリーズ：この脆弱性は、2004年4月2日（金）にリリースされるソフトウェアリリース6.10.3.04、7.10.5.07s、7.20.3.09s、および7.30.0.08sで修正されています。
  
• Cisco Global Site Selector(GSS)4480および4490：この脆弱性は、2004年4月2日（金）にリリースされるソフトウェアリリース1.1.1.1.0で修正されています。
  
• Cisco Content Service Switch(CSS)Secure Content Accelerator(SCA)バージョン1および2：この脆弱性は、2004年3月31日（水）にリリースされるソフトウェアリリース4.2.0.21で修正されています。
  
• CiscoWorks Common Services(CWCS)バージョン2.2およびCiscoWorks Common Management Foundation(CMF)バージョン2.1：この脆弱性は、2004年3月26日（金）にCCOで入手可能なCiscoWorks Common Services 2.2用のOpenSSL 0.9.7dパッチで修正されています。CiscoWorks Common Management Foundationバージョン2.1のユーザには、CiscoWorks Common Services 2.2へのアップグレードが必要です。この無料アップグレードの入手については、Cisco Technical Assistance Center(TAC)にお問い合わせください。TACの連絡先情報は、次の「修正済みソフトウェアの入手」セクションに記載されています。
  
• Cisco Access Registrar(CAR)：この脆弱性は、2004年3月26日（金）にリリースされるソフトウェアリリース3.5.0.12で修正されています。
  
• Cisco Call Manager(CCM)：この脆弱性は、2004年3月24日（水）にリリースされるソフトウェアリリース4.0(1)ES05で修正されています。修正済みソフトウェアリリース4.0(1)sr2は2004年4月に利用可能になる予定です。修正済みソフトウェアリリース4.0(2)の場合、ソフトウェアのアベイラビリティの日付はまだ決定されていません。
  
• Cisco Okena Stormwatch 3.2：修正済みソフトウェアリリースまたはソフトウェアの提供開始日はまだ決定されていません。
  
• Cisco Application & Content Networking Software(ACNS)：この脆弱性は、2004年3月31日（水）にリリースされるソフトウェアリリース5.0.(11)b8および5.1(5)で修正されています。
  
• Cisco Threat Response(CTR)：この脆弱性は、2004年4月1日（木）にリリースされるソフトウェアリリース2.0.3で修正されています。
  

Cisco PSIRTでは、このアドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。

この脆弱性は、NISCCからCisco PSIRTに報告されました。NISCCでは、この脆弱性をhttp://www.uniras.gov.uk/vuls/2004/224012/index.htmで文書化しています。