Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Security Agent Management Center(CSAMC)には、認証に外部Lightweight Directory Access Protocol(LDAP)サーバを使用するように設定されている場合に、管理者認証バイパスの脆弱性が存在します。
この脆弱性に対しては回避策があります。シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20061101-csamc で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
ホットフィックス5.1.0.79より前のCSAMCバージョン5.1は、この脆弱性の影響を受けます。
脆弱性を含んでいないことが確認された製品
CSAMCバージョン5.1より前のバージョンは、この脆弱性の影響を受けません。他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco Security Agent Management Center(CSAMC)バージョン5.1には、外部LDAPサーバに対して管理者を認証するように設定されている場合に、管理者認証バイパスの脆弱性が存在します。
CSAMC管理者には、設定、導入、監視の3つのロールがあります。configureロールは、セキュリティポリシーの作成機能を含め、CSAMCアプリケーションへの完全なアクセス権を持ちます。展開ロールでは、エージェントキットの作成、セキュリティポリシーの展開、およびアプリケーション監視の実行を行うことができます。展開ロールではセキュリティポリシーを変更できません。監視ロールは、アプリケーション監視機能のみを実行できます。
すべてのCSAMC管理者アカウントはローカルCSAMCデータベースで定義され、ロールが割り当てられています。CSAMCは、外部LDAPサーバを使用して管理者を認証するように設定できます。安全機能として、LDAPサーバが使用できない場合に特定の管理者アカウントをローカル認証にフォールバックするように指定できます。
認証にLDAPを使用するようにCSAMCが設定されている場合、有効な管理者ユーザ名とブランク(長さゼロ)のパスワードを指定し、管理者のロール権限を使用してCSAMCアプリケーションへの管理アクセスを取得できます。この脆弱性は、CSAMCがLDAPサーバからの認証失敗メッセージを正しく処理しない場合に発生します。LDAPサーバに保存されている管理者パスワードは、空白ではない有効なパスワードです。
CSAMCバージョン5.1は、外部LDAP認証を最初に組み込んだバージョンです。LDAP認証はCSAMCのデフォルト設定ではないため、明示的に設定する必要があります。この設定のLDAPサーバはCSAMCに組み込まれていません。
CSAMCの管理者LDAP認証の設定については、次を参照してください。
CSAMCのロールベースの管理の設定については、次を参照してください。
この脆弱性は、Cisco Bug ID CSCsg40822(登録ユーザ専用)に記載されています。
回避策
この脆弱性は、外部LDAP認証を無効にし、ローカルのCSAMCデータベースに対して認証するように管理者を設定することで回避できます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細は、次の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html
修正済みCSAMC(fcs-csamc-hotfix-5.1.0.79-w2k-k9.zip)ソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/csahf-crypto?psrtdcat20e2からダウンロードできます。
|
該当するソフトウェア バージョン |
修正済みソフトウェアバージョン |
|---|---|
|
5.1.0.79より前のCSAMCバージョン5.1ホットフィックス |
CSAMCバージョン5.1ホットフィックス5.1.0.79 |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、サードパーティからシスコに報告されたものです。
URL
改訂履歴
|
リビジョン 1.0 |
2006年11月1日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。