Cisco Security Agent for Windows のシステム ドライバのリモート バッファ オーバーフロー脆弱性

ダウンロード オプション

  • PDF     (384.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (87.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (81.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 12 月 5 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Critical

Critical

アドバイザリーID : cisco-sa-20071205-csa
初公開日 : 2007-12-05 16:00
バージョン 1.2 : Final
CVSSスコア : 10.0
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Security Agent for Microsoft Windows が使用するシステム ドライバには、バッファ オーバーフローの脆弱性が存在します。このバッファ オーバーフローはリモートで悪用でき、カーネル メモリを破壊し、それによって Windows 停止エラー(ブルー画面)や任意のコードの実行を可能にします。

この脆弱性は、TCP ポート 139 または 445 を宛先とする細工された TCP セグメントを処理する際に発生します。これらのポートは、Microsoft Server Message Block(SMB)プロトコルで使用されます。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)識別子 CVE-2007-5580 が割り当てられています。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071205-csa で公開されています。

該当製品

脆弱性のある製品

すべてのバージョンの Cisco Security Agent for Windows(管理対象とスタンドアロンの両方)が該当します。Cisco IP Communications アプリケーション サーバー上で実行されているエージェントや、Cisco Security Manager を実行しているシステム上のエージェントなどは、スタンドアロン実装の例です。

スタンドアロン エージェントは、次の Cisco IP Communications 製品にインストールされます。

  • Cisco Unified Communications Manager(CallManager)
  • Cisco Conference Connection(CCC)
  • Emergency Responder
  • IPCC Express
  • IPCC Enterprise
  • IPCC Hosted
  • IP Interactive Voice Response(IP IVR)
  • IP Queue Manager
  • Intelligent Contact Management(ICM)
  • Cisco Voice Portal(CVP)
  • Cisco Unified Meeting Place
  • Cisco Personal Assistant(PA)
  • Cisco Unity
  • Cisco Unity Connection
  • Cisco Unity Bridge
  • Cisco Internet Service Node(ISN)

Cisco Security Manager のインストール時にエージェントが検出されないと、Cisco Security Manager は Cisco Security Agent のスタンドアロン バージョンをインストールするので、Cisco Security Manager が稼働するシステムもこの脆弱性に該当します。

脆弱性が存在しない製品

Cisco Secure Access Control Server(ACS)Solution Engine(ACS アプライアンスとも呼ばれます)は、Cisco Security Agent のスタンドアロン バージョンを統合します。ただし、ACS Solution Engine は、該当する TCP ポート(139 と 445)に着信したトラフィックをデフォルトでブロックするので、この脆弱性には該当しません。詳細については、「詳細情報」セクションを参照してください。

Solaris および Linux オペレーティング システム上で稼働している Cisco Security Agent は、この脆弱性には該当しません。

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

脆弱性を含んでいないことが確認された製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

Cisco Security Agent は、サーバおよびデスクトップ コンピューティング システムに対する脅威を防止するセキュリティ ソフトウェア エージェントです。Cisco Security Agent は、Management Center for Cisco Security Agents で管理することもできますが、Cisco Security Agent Management Center では管理されないスタンドアロン エージェントとして使用することもできます。

一部の Cisco 製品は、ウイルス、ワーム、攻撃などから製品を保護するため、スタンドアロンの Cisco Security Agent を統合します。スタンドアロンの Cisco Security Agent を統合する製品としては、Cisco IP Communications アプリケーション サーバ、Cisco Secure Access Control Server(ACS)Solution Engine、Cisco Security Manager などがあります。

管理対象か非管理対象かにかかわらず、Cisco Security Agent が使用するシステム ドライバには、バッファ オーバーフローの脆弱性が存在します。Cisco Security Agent は、このドライバをデフォルトで使用します。

このバッファがオーバーフローすると、Windows のカーネル メモリが破壊されます。したがって、この脆弱性を悪用されると、Windows の停止エラー(カーネル パニック、つまりブルー画面のエラー)が発生するか、または任意のコードが実行されるようになります。この脆弱性は、ネットワークを介してリモートで悪用できます。

この脆弱性は、TCP ポート 139 または 445 を宛先とする細工された TCP セグメントを Cisco Security Agent が処理する際に発生します。これらのポートは、Microsoft Server Message Block(SMB)プロトコルで使用されます。この脆弱性をトリガーするには、TCP セッションを確立する必要があります(つまり、TCP 3 ウェイ ハンドシェイクを完了する必要があります)。

脆弱なバージョンの Cisco Security Agent が稼働しているすべてのシステムが該当します。これには、Cisco IP Communications アプリケーション サーバや Cisco Security Manager のように、スタンドアロンの Cisco Security Agent を統合する Cisco 製品も含まれます。ACS Solution Engine はスタンドアロンの Cisco Security Agent を統合しますが、TCP ポート 139 と 445 を ACS Solution Engine 自体がファイアウォールで遮断するので、この脆弱性には該当しません。この TCP ポート 139 および 445 へのトラフィックの遮断は、デフォルトで有効であり、ユーザは設定できません。

この脆弱性は、Cisco Bug ID CSCsl00618(登録ユーザ専用)に記載されています。

この脆弱性には、CVE 識別子 CVE-2007-5580 が割り当てられています。

脆弱性スコア評価の詳細

Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。このセキュリティアドバイザリでの CVSS スコアは CVSS version 2.0 に基づいています。

CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。

Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは次のURLでCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html にアクセスしてください。

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。

https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x

CSCsl00618(登録ユーザ専用):Buffer overflow in system driver causes BSOD

環境スコアを計算する 0.CSCsl00618

CVSS 基本スコア:10.0

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

Network

低い

なし

完了

完了

完了

CVSS 現状スコア:8.3

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

Official-Fix

確認済

回避策

一般的な考慮事項

TCP ポート 139 および 445 を使用する SMB プロトコル パケットを拒否するフィルタを、transit Access Control List(tACL; トランジット アクセス コントロール リスト)の一部として適用し、入力アクセス ポイントからネットワーク内に入るトラフィックを防ぎます。フィルタが適用されるデバイスとその背後にある他のデバイスを保護するには、このポリシーを設定する必要があります。TCP ポート 139 および 445 を使用する SMB プロトコルパケットに対するフィルタを、脆弱なホストの前面にも配置し、信頼できるクライアントからのトラフィックのみを許可します。

tACLについての詳細は、『トランジットアクセスコントロールリスト:エッジでのフィルタリング』を参照してください。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml

ネットワーク内の Cisco デバイスに導入できる追加の緩和テクニックについては、このアドバイザリに関連する Cisco 適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20071205-csa)を参照してください。

TCP ポート 139 および 445 をブロックするための Cisco Security Agent のルール

SMB サービス(ディレクトリ、ファイル、プリンタの共有などのサービス)を必要としないワークステーションは、TCP ポート 139 および 445(SMB ポート)へのすべてのトラフィックをブロックする Cisco Security Agent ルールを設定することで保護できます。

このようなルールは、Network Personal Firewall ポリシーを含むバージョンの Cisco Security Agent にあります。具体的なルールは、「All applications, server for SMB services (offering network shares)」という説明が付いたルールを検索することで、または(Network Personal Firewall ポリシーに付属する)Personal Firewall Module ルール モジュールを開き、この説明が付いているルールを編集することで、確認できます。このルールはデフォルトで有効になっていますが、デフォルトのアクションを Allow から High Priority Deny に変更する必要があります

Network Personal Firewall ポリシーが存在しない場合は、TCP ポート 139 および 445 に対するトラフィックをブロックするネットワーク アクセス ルールを作成できます。そのためには、ルールを Deny ルールとして設定し、Cisco Security Agent がインストールされているシステムが TCP ポート 139 および 445 のネットワーク サービスに対するサーバとして動作しようとしたときに、トラフィックを拒否する必要があります。Cisco Security Agent ネットワーク アクセス コントロール ルールの設定に関する詳細は、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/security/csa/csa52/user_guide/Chap6.html#wp1199624

caution 注意:Windows システムで TCP ポート 139 および 445 をブロックすると、Windows システムは SMB サービスの提供を停止します。この回避策を適用する前に、ユーザのワークステーションで SMB サービスを無効にした場合の影響についてよく理解しておくことを推奨いたします。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

管理対象の Cisco Security Agent

管理対象の Cisco Security Agent に対する修正済みソフトウェアは、ホットフィックスの形式で入手できます。次の表は、現在サポートされているバージョンの Cisco Security Agent に対するホットフィックスの情報です。Cisco Security Agent の将来のバージョンには、修正が組み込まれる予定です。

該当する Cisco Security Agent のバージョン

ホットフィックスのバージョン

4.5.1

Hotfix 4.5.1.672

5.0

Hotfix 5.0.0.225

5.1

Hotfix 5.1.0.106

5.2

Hotfix 5.2.0.238

Cisco Security Agent のホットフィックスは、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/csahf-crypto?psrtdcat20e2

Cisco IP Communications 製品用の Cisco Security Agent

次の表に、Cisco Unified Communications ManagerおよびIPCC Express(別名Unified Contact Center Express、UCCX)に対するCisco Security Agentの修正に関する情報を示します。

該当する Cisco Security Agent のバージョン

修正済みソフトウェア

4.5.1

CUCM-CSA-4.5.1.672-2.0.7-k9.exe

5.0

CUCM-CSA-5.0.0.225-3.0.7-k9.exe

これらの修正は、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2

次の表に、Cisco Security AgentによるCisco Unityの修正に関する情報を示します。

該当する Cisco Security Agent のバージョン

修正済みソフトウェア

5.0

CiscoUnity-CSA-5.0.0.225-3.0.2-K9.exe(登録ユーザ専用)

これらの修正は、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/unity3d?psrtdcat20e2

次の表に、Intelligent Contact Management(ICM)、IPCC Enterprise、およびIPCC Hostedに対するCisco Security Agentの修正に関する情報を示します。

該当する Cisco Security Agent のバージョン

修正済みソフトウェア

4.5.1

CiscoICM-CSA-4.5.1.672-2.0.6-W-K9.exe(登録ユーザ専用)

5.0

CiscoICM-CSA-5.0.0.229-3.0.2-W-K9.exe(登録ユーザ専用)

これらの修正は、cisco.comのSoftware Center(http://www.cisco.com/public/sw-center/)のContact Center Software > Cisco Unified Contact Center Products > Cisco Agent Desktop > Cisco Security Agent for Contact Center Products領域からダウンロードできます。

Cisco Security Manager 用の Cisco Security Agent

Cisco Security Manager 用の修正済みスタンドアロン Cisco Security Agent は、ホットフィックス fcs-csamc-hotfix-5.2.0.238-w2k3-k9-CSM.zip の形式で、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/csm-app?psrtdcat20e2 にアクセスしてください。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、NSFocus Security Team(http://www.nsfocus.com)から Cisco に報告されたものです。Cisco では、この脆弱性の報告と問題解決のための協力をいただいたことについて、NSFocus Security Team に謝意を表します。

URL

改訂履歴

リビジョン 1.2

2008年4月25日

CSCsl00618のCVSSスコアへのリンクを更新。

リビジョン 1.1

2008年1月10日

IPCC Express、Unity、IPCC Enterprise、IPCC Hosted、およびIntelligent Contact Management(ICM)の修正済みソフトウェア情報を追加。

リビジョン 1.0

2007 年 12 月 5 日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。