Cisco Unified Communications Manager のサービス拒否の脆弱性

Cisco Unified Communications Manager（CUCM）（以前の CallManager）には、Denial of Service（DoS; サービス拒否）につながる 2 つの脆弱性が含まれています。大量の UDP Session Initiation Protocol（SIP; セッション開始プロトコル）INVITE メッセージによって、カーネル パニックの原因となる CUCM システムでのリソース枯渇状態が発生する場合があります。CUCM Trivial File Transfer Protocol（TFTP）サービスにはバッファ オーバーフローの脆弱性が含まれているため、サービス拒否の状態が発生したり、認証されていないリモート ユーザが任意のコードを実行できるようになったりする場合があります。これらの脆弱性に対する回避策はありません。

Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071017-cucm で公開されています。

注：Cisco Unified CallManagerバージョン4.2、4.3、5.1、および6.0の名称は、Cisco Unified Communications Managerに変更されています。CUCM バージョン 3.3、4.0、4.1、および 5.0 は、Cisco Unified CallManager の名称のままです。

Cisco Unified Communications Manager（CUCM）（以前の CallManager）は、IP Phone、メディア処理デバイス、Voice over IP（VoIP）ゲートウェイ、およびマルチメディア アプリケーションなど、パケット テレフォニー ネットワーク デバイスにエンタープライズ テレフォニー機能を拡張する、Cisco IP テレフォニー ソリューションのコール処理コンポーネントです。

• SIP INVITE UDP のサービス拒否：
  
  CUCM Session Initiation Protocol（SIP; セッション開始プロトコル）スタックには、DoS の脆弱性が含まれています。UDP ポート 5060 への正常な SIP INVITE メッセージを使用した CUCM システムのフラッディングによって、カーネル パニックの原因となる、リソース枯渇状態を引き起こすことが可能になる場合があります。この脆弱性は、CUCM バージョン 5.1(2b)、5.1(3)、および 6.0(1) で修正されています。この問題は Cisco Bug ID CSCsi75822 に記載されています。
  
  
• Centralized TFTP File Locator Service のオーバーフロー：
  
  CUCM TFTP サービスにはファイル名の処理におけるバッファ オーバーフローの脆弱性が含まれており、認証されていないリモート ユーザによる DoS 状態の発生や任意のコードの実行が可能になったりすることがあります。TFTP サービスは、従来の TFTP（UDP ポート 69）と TCP ポート 6970 で受信する HTTP サーバの 2 つの方式を介してファイルを処理します。HTTP サーバ コンポーネントは、Centralized TFTP File Locator Service として知られています。
  
  Centralized TFTP File Locator Service を使用すると、CUCM 管理者はデバイス設定とソフトウェア ファイルを中央の場所に格納できます。Centralized TFTP File Locator Service は、CUCM TFTP サービスが有効になっていて、代替の TFTP パスが設定されていると、アクティブになります。Centralized TFTP File Locator Service および代替の TFTP パスの設定についての詳細は、次のドキュメントを参照してください。
  http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/admin/5_0_1/ccmsys/a02tftp.html#wp1044917
  
  オーバーフローの脆弱性は、CUCM TFTP サービスの Centralized TFTP File Locator Service コンポーネントだけに該当します。Centralized TFTP File Locator Service は、CUCM システム間の通信だけに使用されます。デフォルトでは CUCM TFTP サービスは有効になっていません。
  
  この脆弱性は、CUCM バージョン 5.1(2)、5.1(3)、および 6.0(1) で修正されています。この問題は Cisco Bug ID CSCsh47712 に記載されています。
  

これらの脆弱性に対する回避策はありません。

スクリーニング デバイス上で、該当する CUCM システムへのトラフィックに対するフィルタリングする手段は、どちらの脆弱性の緩和テクニックとしても使用できます。

• SIP INVITE UDP の DoS を緩和するには、有効な SIP からだけ UDP ポート 5060 へのアクセスを許可します。UDP スプーフィングを回避するには、アンチスプーフィング対策も展開する必要があります。
  
• Centralized TFTP File Locator Service オーバーフローを緩和するには、CUCM システムからだけ TCP ポート 6970 へのアクセスを許可します。
  

現在、CUCM システムで直接フィルタリングを設定する方法はありません。

UDP ポート 5060 を使用している SIP パケットと TCP ポート 6970 の HTTP パケットを拒否するフィルタは、入力アクセス ポイントからネットワーク内に進入するトラフィックを保護するために、transit Access Control List（tACL; トランジット ACL）ポリシーの一部としてネットワーク全体に展開される必要があります。UDP ポート 5060 を使用している SIP パケットと TCP ポート 6970 の HTTP パケットのフィルタは、信頼できるクライアントからだけのトラフィックが許可されるように、脆弱性のあるネットワーク デバイスの直前に展開される必要もあります。

tACL についての詳細は、次のリンクから『トランジット アクセス コントロール リスト：エッジでのフィルタリング』を参照してください。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml

Cisco 機器に適用可能な追加の軽減策については以下の "Cisco Applied Intelligence companion document" より入手可能です。

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20071017-cucm

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

これらの脆弱性は、Cisco 社内で発見されたものです。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。