Cisco Security Agentにおける権限昇格の脆弱性

ダウンロード オプション

  • PDF     (369.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (74.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2005 年 11 月 29 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

severity
severity
アドバイザリーID : cisco-sa-20051129-csa
初公開日 : 2005-11-29 16:00
バージョン 1.0 : Final
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Security Agent(CSA)は、サーバおよびデスクトップコンピューティングシステムに対して脅威からの保護を提供するセキュリティソフトウェアエージェントです。CSAエージェントは、Cisco Security Agent用のCiscoWorks VMS Management Centerで管理することも、Cisco IP Communicationsアプリケーションサーバで実行するスタンドアロンエージェントにすることもできます。Cisco IP Communicationsアプリケーションサーバのスタンドアロンエージェントは、IP Communicationsアプリケーションサーバに手動でインストールする必要があります。

CSAエージェントには、ローカルで実行されるソフトウェアによる権限昇格を可能にする脆弱性があり、管理対象またはスタンドアロンのCSA 4.5.0エージェントまたは4.5.1エージェントを実行しているWindowsワークステーションまたはサーバで、通常のユーザまたは攻撃者にローカルシステムレベルの権限が与えられます。

シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051129-csa で公開されています。

該当製品

このセクションには、該当製品に関する詳細が掲載されています。

脆弱性のある製品

CiscoWorks VMS Management Center for Cisco Security Agentsで管理されるCSA 4.5.0および4.5.1エージェントと、Cisco IP Communicationsアプリケーションサーバで実行されるスタンドアロンエージェントは、次の環境で実行される場合に影響を受けます。

  • 以下を含むMicrosoft Windowsプラットフォーム:
    -Windows 2003
    - Windows 2000 ServerおよびAdvanced Server
    - Windows NT v4.0 ServerおよびEnterprise Server(SP 6a)
    - Windows NT 4ワークステーション(SP 6a)
    -Windows 2000 Professional
    - Windows XP Professional
  • Cisco CSA 4.5.0(全ビルド)マネージドエージェントおよびスタンドアロンエージェント(Microsoft Windows上で稼働)
  • Cisco CSA 4.5.1(全ビルド)マネージドエージェントおよびスタンドアロンエージェント(Microsoft Windows上で稼働)
  • CallManagerバージョン4.5.1ビルド628および4.5.0ビルド573のCisco CSA。

    注:これらのバージョンは、CallManager、Cisco Conference Connection(CCC)、Emergency Responder、IPCC Express、IP Interactive Voice Response(IP IVR)、およびIP Queue Managerで使用されます

  • Intelligent Contact Management(ICM)、IPCC Enterprise、およびIPCC Hosted向けCisco CSAバージョン4.5.1ビルド616
  • Cisco CSA for Cisco Voice Portal(CVP)3.0および3.1バージョン4.5.0ビルド573。

    注:このバージョンは、CVP 3.0と3.1、およびCVP VXML Serverで使用されます。

脆弱性を含んでいないことが確認された製品

次の製品には脆弱性が存在しないことが確認されています。

  • Cisco CSA 4.0.3(全ビルド)以前のマネージドエージェントおよびスタンドアロンエージェント
  • Cisco CSA 4.0.2(全ビルド)以前のマネージドエージェントおよびスタンドアロンエージェント
  • Cisco CSA 4.0.1(全ビルド)以前のマネージドエージェントおよびスタンドアロンエージェント
  • Cisco CSA 3.xバージョン
  • Okena Stormwatch 3.xバージョン
  • Solaris上で動作するCisco CSAエージェント
  • Linux上で動作するCisco CSAエージェント

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

CSAクライアントのバージョンの確認

クライアントマシンで実行されているCSAのバージョンを確認するには、WindowsタスクバーのCSAアイコンを右クリックします。ポップアップメニューで「About ...」を選択すると、「Cisco Security Agent V4.5 build 565」のようなテキストを含むエージェントのバージョン番号がポップアップウィンドウに表示されます。

管理コンソールを使用したCSAクライアントバージョンの確認

CiscoWorksサーバのCisco Security Agent用の管理コンソールを使用して、CSAのバージョンを確認することもできます。次のステップを実行します。

  1. ログイン先:
    http://ciscoworks-hostname:1741/
  2. VPN/Security Management Solution > Management Center > Security Agentsの順に選択し、Security Agentsタブをクリックします。
    これにより、「Management Center for Cisco Security Agents」が起動します。
  3. ブラウザウィンドウで、「Help」と書かれたタブを中央に見つけます。
  4. About」というラベルの付いたサブアイテムをクリックします。 ポップアップウィンドウにCisco Security Agentのバージョンが表示され、次のようなテキストが表示されます。
    Management Center for Cisco Security Agents V4.5-1ビルド616

注:CSA 4.5.Xエージェントは、バージョン4.5-X(任意のビルド)のManagement Center for Cisco Security Agentsでのみ管理できます。

詳細

Cisco Security Agentは、サーバおよびデスクトップコンピューティングシステムに対する脅威からの保護を提供します。脆弱性のあるバージョンのCisco Security Agentでは、ローカルで実行されるソフトウェアがシステム保護をバイパスし、昇格された特権で実行される可能性があります。その結果、通常のユーザおよび攻撃者がローカルのシステムレベルの特権を取得する可能性があります。

CSAで保護されたシステム上で悪意のあるソフトウェアが実行されないように設定されたエージェントチェックはアクティブになりますが、不正利用に成功した後に行われるチェックはバイパスされる可能性があります。

この問題は、Microsoftオペレーティングシステムの問題に関連するものではなく、CSAポリシーを変更してもこの動作は変わりません。

この脆弱性は、Bug ID CSCsc42373(登録ユーザ専用)としてCisco Bug Toolkitに記載されています

ローカルシステムレベルの権限の詳細については、次を参照してください。

回避策

Microsoft Windows上で稼働するCisco CSA 4.5.0および4.51マネージドエージェントの回避策

  • この問題のリスクは、ワークステーションとサーバで実行できるソフトウェアを制御することで軽減できます。
  • CSAエージェントの無効化またはアンインストールは、この特定の問題に対する回避策ですが、エージェントが保護を提供している他のすべての問題に対して、ワークステーションまたはサーバが危険な状態になります。CSAエージェントの無効化またはアンインストールは、最後の手段としてのみ検討してください
  • この脆弱性に対する回避策はありません。この脆弱性を解決するための適切なソリューションについては、「修正済みソフトウェアの取得」セクションを参照してください

Cisco CallManagerと音声アプリケーションサーバの緩和策とベストプラクティス

  • この問題のリスクは、サーバでの実行を許可するソフトウェアを制御することで軽減できます。シスコでは、Cisco CallManagerサーバおよび音声アプリケーションサーバへのインストールが承認されているソフトウェアだけを設定して使用することを強く推奨します。
  • IPテレフォニーネットワークセキュリティのベストプラクティスは、追加の緩和策になります。
  • Cisco CallManagerと音声アプリケーションサーバは、個別のIPネットワーク上に配置する必要があります
  • Cisco CallManagerと音声アプリケーションサーバは、レイヤ2で保護する必要があります。
  • データネットワークから発生する可能性のある攻撃から音声ネットワークを保護するために、アクセスコントロールを採用する必要があります。
  • Cisco CallManagerおよび音声アプリケーションサーバのオペレーティングシステムの強化に関するベストプラクティスに従います。
  • Cisco CallManagerおよび音声アプリケーションサーバに承認済みのアンチウイルスソフトウェアを実装します。
  • IPテレフォニーネットワークセキュリティのベストプラクティスの詳細については、次を参照してください。
    Cisco CallManager 3.3用IPテレフォニーSRND

スタンドアロンCSAエージェントで保護されたシステムの回避策

Cisco CSA for CallManager、CCC、Emergency Responder、IPCC Express、IP IVR、およびIP Queue Manager

  • Cisco CSA for CallManagerバージョン4.0.3ビルド728にダウングレードします。このビルドは、http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3desからダウンロードできます。
  • CSAエージェントの無効化またはアンインストールは、この特定の問題の回避策ですが、エージェントが保護を提供している他のすべての問題に対して、ワークステーションまたはサーバが危険な状態になります。CSAエージェントの無効化またはアンインストールは、最後の手段としてのみ検討してください。
  • CallManagerのCSAをアンインストールしてインストールする手順については、次の文書を参照してください。
    Cisco Security Agent for Cisco CallManagerのインストール
    Cisco Customer Responseアプリケーション用のCisco Security Agentのインストール
  • この脆弱性に対する回避策はありません。この脆弱性を解決するための適切なソリューションについては、「修正済みソフトウェアの取得」セクションを参照してください。

ICM、IPCC Enterprise、およびIPCC Hostedバージョン4.5.1ビルド616のCisco CSA

  • CSAエージェントの無効化またはアンインストールは、この特定の問題の回避策ですが、エージェントが保護を提供している他のすべての問題に対して、ワークステーションまたはサーバが危険な状態になります。CSAエージェントの無効化またはアンインストールは、最後の手段としてのみ検討してください。
  • アンインストール手順については、次のドキュメントを参照してください。
    CiscoICM70-CSA-Installation-User-Guide.pdfは、次のURLから入手できます。
    http://www.cisco.com/pcgi-bin/tablebuild.pl/csa10-crypto
  • この脆弱性に対する回避策はありません。この脆弱性を解決するための適切なソリューションについては、「修正済みソフトウェアの取得」セクションを参照してください。

Cisco CSA for CVP 3.0および3.1バージョン4.5.0ビルド573。このバージョンは、CVP 3.0、3.1、およびCVP VXML Serverで使用されます

  • CSAエージェントの無効化またはアンインストールは、この特定の問題の回避策ですが、エージェントが保護を提供している他のすべての問題に対して、ワークステーションまたはサーバが危険な状態になります。CSAエージェントの無効化またはアンインストールは、最後の手段としてのみ検討してください。
  • アンインストール手順については、次のドキュメントを参照してください。
    CiscoCVP-CSA-InstallationGuide.pdfは、次のリンクから入手できます。
    http://www.cisco.com/pcgi-bin/tablebuild.pl/csa-cvp-20
  • この脆弱性に対する回避策はありません。この脆弱性を解決するための適切なソリューションについては、「修正済みソフトウェアの取得」のセクションを参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco Security Agentソフトウェアの修正済みバージョンでは、古い4.5.0および4.5.1ビルドよりも多くのリソースは必要ありません。現在4.5.0または4.5.1を実行しているすべてのシステムに適しています。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

URL

改訂履歴

リビジョン 1.0

2005-November-29

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。