Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Application Networking Manager(ANM)およびCisco Application Control Engine(ACE)Device Managerアプリケーションには、複数の脆弱性が存在します。これらの脆弱性は相互に関連していません。これらの脆弱性の不正利用に成功すると、システムまたはホストオペレーティングシステムへの不正アクセスが発生する可能性があります。
このセキュリティアドバイザリでは、次の脆弱性を特定しています。
-
ACE Device ManagerおよびANMの無効なディレクトリ権限の脆弱性
-
ANMデフォルトユーザクレデンシャルの脆弱性
-
ANM MySQLデフォルトクレデンシャルの脆弱性
-
ANM Javaエージェントの権限昇格
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの問題の1つを軽減する回避策が利用可能です。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090225-anm で公開されています。
注:このアドバイザリは、次のURLで公開されているACEアプライアンスおよびモジュールソフトウェアに影響を与える複数の脆弱性に関するアドバイザリと同時にリリースされます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090225-ace
該当製品
脆弱性のある製品
このアドバイザリに記載されている各脆弱性の影響を受ける製品とバージョンを次に示します。
|
脆弱性 |
該当製品 |
該当バージョン |
|---|---|---|
|
無効なディレクトリ権限 |
ACE Device Manager |
A3(2.1)より前のすべてのバージョン |
|
無効なディレクトリ権限 |
ANM |
ANM 2.0より前のすべてのバージョン |
|
デフォルトのユーザクレデンシャル |
ANM |
ANM 2.0より前のすべてのバージョン |
|
MySQLのデフォルトのクレデンシャル |
ANM |
ANM 2.0より前のすべてのバージョン |
|
Javaエージェントの権限昇格 |
ANM |
ANM 2.0 Update Aより前のすべてのバージョン |
ACE Device Managerソフトウェアバージョンの確認
ACE Device Managerは、ACEアプライアンスソフトウェアに組み込まれています。
デバイスで現在実行されているシステムソフトウェアのバージョンを表示するには、show versionコマンドを使用します。次の例は、ソフトウェアバージョンA3(2.1)を実行しているCisco ACEアプライアンスでのshow versionコマンドの出力を示しています。
ACE-4710/Admin# show version Cisco Application Control Software (ACSW) TAC support: http://www.cisco.com/tac Copyright (c) 1985-2008 by Cisco Systems, Inc. All rights reserved. The copyrights to certain works contained herein are owned by other third parties and are used and distributed under license. Some parts of this software are covered under the GNU Public License. A copy of the license is available at http://www.gnu.org/licenses/gpl.html. Software loader: Version 0.95 system: Version A3(2.1) [build 3.0(0)A3(2.1) adbuild_14:33:29-2008/11/19_/auto/adbu-rel4/rel_a3_2_1_throttle_build/REL_3_0_0_A3_2_1] system image file: (nd)/192.168.65.32/scimitar.bin Device Manager version 1.1 (0) 20081113:2052 ---
ANMソフトウェアバージョンの確認
現在インストールされているANMソフトウェアのバージョンを表示するには、ANMサーバにログインし、右上のAboutキーワードを選択します。情報ポップアップウィンドウが表示されます。次の出力例に、ANMバージョン2.0アップデートAを示します。
Version: 2.0(0), Update: A
Build Number: 709
Build Timestamp: 20081031:1226
脆弱性を含んでいないことが確認された製品
Cisco ACE XML Gateway、Cisco ACE GSS(Global Site Selector)4400シリーズ、およびCisco ACE Web Application Firewallは、これらの脆弱性の影響を受けません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
ANMは、Cisco ACEモジュールまたはアプライアンスを管理するネットワーク管理アプリケーションです。ANMは、Red Hat Enterprise Linuxオペレーティングシステムを搭載した、お客様が用意したサーバにインストールされます。ACE Device Managerは、単一のACEアプライアンスを設定および管理するためのブラウザベースのインターフェイスを提供します。ACE Device Managerは、ACEアプライアンスのフラッシュメモリに常駐します。ANMおよびACE Device Manager製品には複数の脆弱性が存在します。このセキュリティアドバイザリで説明されている各脆弱性について、次の詳細が記載されています。
無効なディレクトリ権限
ソフトウェアバージョンA3(2.1)より前のCisco ACE Device Managerと、ソフトウェアバージョンANM 2.0より前のCisco ANMには、ディレクトリトラバーサルの脆弱性が存在します。これらの脆弱性により、ACEオペレーティングシステムおよびホストオペレーティングシステムファイルへの不正アクセスが可能になる可能性があります。これらの脆弱性を不正利用するには、いずれかの製品に最初にアクセスするための認証が必要です。
この脆弱性は、次のCisco Bug IDに記載されています。
-
CSCsv66063(登録ユーザ専用)
-
CSCsv70130(登録ユーザ専用)
この脆弱性には、Common Vulnerability and Exposures(CVE)IDとしてCVE-2009-0615が割り当てられています。
デフォルトのユーザクレデンシャル
ソフトウェアバージョンANM 2.0より前のCisco ANMのバージョンでは、インストール時にクレデンシャルの変更は強制されません。これらのクレデンシャルを変更しない場合、デフォルトのユーザクレデンシャルを使用してANMアプリケーションへの不正アクセスが許可される可能性があります。
この脆弱性は、次のCisco Bug IDに記載されています。
-
CSCsu52724(登録ユーザ専用)
この脆弱性には、Common Vulnerability and Exposures(CVE)IDとしてCVE-2009-0616が割り当てられています。
MySQLのデフォルトのクレデンシャル
ANM 2.0より前のバージョンのANMでは、インストール時にデフォルトのMySQLルートユーザパスワードが使用されます。MySQLデータベースは、ANMが最初にインストールされたときにデフォルトでインストールされます。この脆弱性は、デフォルトのクレデンシャル認証を使用し、エンドユーザの操作なしでリモートから悪用される可能性があります。データベースへの不正アクセスにより、ANMの機能に影響を与える可能性のあるシステムファイルの変更や、基盤となるホストオペレーティングシステムでのコマンドの実行が可能になる場合があります。MySQLデータベース内のACEアプライアンスおよびモジュールデバイス設定ファイルは暗号化されます。
この脆弱性は、次のCisco Bug IDに記載されています。
-
CSCsu52632(登録ユーザ専用)
この脆弱性には、Common Vulnerability and Exposures(CVE)IDとしてCVE-2009-0617が割り当てられています。
Javaエージェントの権限昇格
ANM 2.0 Update Aより前のバージョンのANMには、リモートから悪用できる脆弱性が存在します。この脆弱性を悪用すると、攻撃者はコンフィギュレーションファイルを表示し、サービスを停止する機能を含むANMプロセスを変更できる可能性があります。この問題が不正利用されると、システム情報の漏洩やサービス拒否が発生する可能性があります。
この脆弱性は、次のCisco Bug IDに記載されています。
-
CSCsu73001(登録ユーザ専用)
この脆弱性には、Common Vulnerability and Exposures(CVE)IDとしてCVE-2009-0618が割り当てられています。
回避策
このセキュリティアドバイザリでは複数の個別の脆弱性について説明していますが、回避策は次の脆弱性に対してのみ存在します。
ANMデフォルトユーザクレデンシャル
ANMユーザのadminアカウントのパスワードは、インストール後に『ANMユーザガイド』の「Changing the Admin Password」で説明されている手順に従って変更できます。
適用対応策速報
ネットワーク内のCiscoデバイスに導入できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のソフトウェア表の各行は、表の「最初の修正済みリリース」列に記載されている修正を含む最初のソフトウェアリリースを示しています。[Recommended Release]列は、このアドバイザリの公開時点で公開されているすべての脆弱性に対する修正を含むリリースを示します。
|
脆弱性 |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|---|---|---|
|
ACEデバイスマネージャの無効なディレクトリ権限 |
A3(2.1) |
A3(2.1) |
|
ANMの無効なディレクトリ権限 |
ANM 2.0 |
ANM 2.0 Update A |
|
ANMデフォルトユーザクレデンシャル |
ANM 2.0 |
ANM 2.0 Update A |
|
ANM MySQLのデフォルト資格情報 |
ANM 2.0 |
ANM 2.0 Update A |
|
ANM Javaエージェントの権限昇格 |
ANM 2.0 Update A |
ANM 2.0 Update A |
ANM 2.0 Update Aは、ANM 2.0 UPDATE Aからダウンロードできます。
ACE Device Manager A3(2.1)は、ACE A3(2.1)からダウンロードできます。
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
ACE Device Managerのディレクトリ権限の脆弱性の検出と報告に関するオーストラリア国立銀行のセキュリティ保証チームへの謝辞。
残りの脆弱性は、内部テストによって特定されました。
URL
改訂履歴
|
リビジョン 1.0 |
2009年2月25日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。