Cisco ファイアウォール サービス モジュールでのアプリケーション インスペクションの脆弱性

ダウンロード オプション

  • PDF     (363.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (71.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 12 月 19 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20071219-fwsm
初公開日 : 2007-12-19 16:00
バージョン 1.2 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Catalyst 6500 スイッチおよび Cisco 7600 シリーズ ルータ用の高速の統合ファイアウォール モジュールである Cisco Firewall Services Module(FWSM; ファイアウォール サービス モジュール)には、FWSM のリロードにつながる可能性がある脆弱性が含まれています。該当する FWSM システム ソフトウェアのバージョンは、3.2(3) だけです。

この問題が意図的に悪用された例は報告されていません。ただし、この脆弱性を偶然に誘発したものと思われるデータ ストリームは観察されています。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)識別子 CVE-2007-5584 が割り当てられています。

シスコでは、この脆弱性に対処するソフトウェア アップデートをリリースする予定です。

この脆弱性に対しては回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071219-fwsm で公開されています。

該当製品

脆弱性のある製品

FWSM は、システム ソフトウェア バージョン 3.2(3) が稼働している場合、この脆弱性に該当します。

FWSM が脆弱かどうかを判定するには、Cisco IOS または Cisco CatOS から Command-Line Interface(CLI; コマンドライン インターフェイス)コマンドの show module を発行して、システムにインストールされているモジュールとサブモジュールを確認します。

次の例は、スロット 4 にファイアウォール サービス モジュール(WS-SVC-FWM-1)が搭載されたシステムを示しています。

switch#show module
 Mod Ports Card Type                              Model              Serial No.
 --- ----- -------------------------------------- ----------------- -----------
 1   48    SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX    SAxxxxxxxxx
 4    6    Firewall Module                        WS-SVC-FWM-1      SAxxxxxxxxx
 5    2    Supervisor Engine 720 (Active)         WS-SUP720-BASE    SAxxxxxxxxx
 6    2    Supervisor Engine 720 (Hot)            WS-SUP720-BASE    SAxxxxxxxxx

正しいスロットの場所を確認した後、show module <slot number> コマンドを発行して、実行されているソフトウェアのバージョンを確認します。

switch#show module 4
 Mod Ports Card Type                              Model              Serial No.
 --- ----- -------------------------------------- ----------------- -----------
 4    6    Firewall Module                        WS-SVC-FWM-1      SAxxxxxxxxx

 Mod MAC addresses                     Hw     Fw           Sw           Status
 --- --------------------------------- ------ ------------ ------------ -------
 4   0003.e4xx.xxxx to 0003.e4xx.xxxx  3.0    7.2(1)       3.2(3)       Ok

上の例では、FWSM がバージョン 3.2(3) を実行していることが、「Sw」列に示されています。

注:Cisco IOSの最近のバージョンでは、show moduleコマンドの出力に各モジュールのソフトウェアバージョンが表示されます。したがって、show module <slot number>コマンドを実行する必要はありません。

または、次の例のように、show version コマンドを使用して FWSM から情報を直接取得することもできます。

FWSM#show version
FWSM Firewall Version 3.2(3)

Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。バージョンの表記は次の例のようになります。 

FWSM Version: 3.2(3)

脆弱性を含んでいないことが確認された製品

  • FWSM システム ソフトウェア バージョン 3.2(2) 以前。
  • FWSM システム ソフトウェア バージョン 3.1(x)。
  • FWSM システム ソフトウェア バージョン 1.x(y) および 2.x(y)。
  • Cisco PIX 500 シリーズ セキュリティ アプライアンス(PIX)。
  • Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)。

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

レイヤ 7 アプリケーション インスペクションを使用したコントロール プレーン パス内でのデータの処理に脆弱性が存在するため、FWSM がリロードされる可能性があります。この脆弱性は、アプリケーション層プロトコル インスペクション プロセスを通過する標準的なネットワーク トラフィックにより発生する場合があります。

この脆弱性に該当する FWSM のリリースは、FWSM システム ソフトウェア バージョン 3.2(3) だけです。

この脆弱性は、Cisco Bug ID CSCsl08519(登録ユーザ専用)に記載されています。

回避策

TCP 正規化機能の無効化

FWSM で TCP 正規化機能を無効にすると、この脆弱性は緩和されます。

TCP ノーマライザは、次のアクションを実行します。

コントロール プレーン パスを通過するトラフィック(レイヤ 7 インスペクションを必要とするパケットや管理トラフィックなど)の場合、FWSM は、TCP 接続用にキューに格納できる不正な順序のパケットの最大数を 2 パケットに設定します。TCP ノーマライザは、デフォルトで有効になっており、有効または無効にする以外の設定は行うことができません。

TCP 正規化機能を無効にするには、次の例に示すように、グローバル コンフィギュレーション モードで no control-point tcp-normalizer コマンドを使用します。 

FWSM# config terminal
FWSM(config)# no control-point tcp-normalizer
FWSM(config)#
FWSM#

「control-point tcp-normalizer」を無効にすると、不正な順序のセグメントの検出などの厳密な TCP チェックは行われず、FWSM でのレイヤ 7 インスペクション用にコントロール プレーンで受信する TCP パケットでの TCP オプションの監視は実行されません。修正済みバージョンのソフトウェアにアップグレードした後で、この機能を有効に戻す必要があります。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリを参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

FWSM ソフトウェア バージョン 3.2(4) にはこのドキュメントで説明されている脆弱性に対する修正が含まれており、2008 年 1 月 7 日から始まる週の間にはダウンロードできるようになる予定です。

FWSMソフトウェアは、cisco.comのhttp://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

この問題は、Cisco の社内テストで最初に発見されたものです。この問題が意図的に悪用された例は報告されていません。ただし、この脆弱性を偶然に誘発したものと思われるデータ ストリームは観察されています。

URL

改訂履歴

リビジョン 1.2

2008 年 1 月 3 日

「ソフトウェア バージョンと修正」セクションのダウンロードが使用可能になる日付を更新。

リビジョン 1.1

2007 年 12 月 19 日

CVSS の表の現状スコアのセクションを更新。

リビジョン 1.0

2007 年 12 月 19 日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。