Ciscoファイアウォールサービスモジュールの複数の脆弱性

ダウンロード オプション

  • PDF     (384.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (74.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2010 年 8 月 4 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20100804-fwsm
初公開日 : 2010-08-04 16:00
バージョン 1.0 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco Firewall Services Module(FWSM)には、巧妙に細工されたSunRPCまたは特定のTCPパケットを処理した後にCisco FWSMのリロードを引き起こす可能性のある複数の脆弱性が存在します。この脆弱性が繰り返し悪用されると、DoS 状態が続く可能性があります。

シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。このアドバイザリで公開されている脆弱性に対しては回避策があります。

注:これらの脆弱性は互いに独立しています。ある機器が1つの脆弱性の影響を受け、他の脆弱性の影響は受けない場合もあります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-fwsm で公開されています。

注:Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、このアドバイザリに記載されているSunRPCインスペクションの脆弱性の影響を受けます。この脆弱性およびCisco ASA 5500シリーズ適応型セキュリティアプライアンスに影響するその他の脆弱性については、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-asaで確認できます。

該当製品

脆弱性のある製品

Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco Firewall Services Module(FWSM)は、複数の脆弱性の影響を受けます。影響を受けるCisco FWSMソフトウェアのバージョンは、脆弱性によって異なります。

SunRPCインスペクションに関するDoS脆弱性

Cisco FWSMソフトウェアバージョン3.xおよび4.xは、SunRPCインスペクションが有効になっている場合にのみ、これらの脆弱性の影響を受けます。SunRPCインスペクションはデフォルトで有効になっています。

SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpcコマンドを使用して、次の例に示すように出力が返されることを確認します。

fwsm#show service-policy | include sunrpc
      Inspect: sunrpc , packet 0, drop 0, reset-drop 0

または、SunRPCインスペクションが有効になっているデバイスの設定は次のようになります。

class-map inspection_default
 match default-inspection-traffic
!
policy-map global_policy
 class inspection_default
  ...
  inspect sunrpc
  ...
!
service-policy global_policy global

注:Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、このアドバイザリに記載されているSunRPCインスペクションの脆弱性の影響を受けます。この脆弱性およびCisco ASA 5500シリーズ適応型セキュリティアプライアンスに影響するその他の脆弱性については、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-asaで確認できます。

TCPのDoS脆弱性

Cisco FWSMソフトウェアバージョン3.xおよび4.xは、マルチモード(仮想ファイアウォールを使用)で設定され、次のいずれかの機能を備えている場合に、この脆弱性の影響を受けます。

  • ASDM管理アクセス
  • Telnet
  • SSH

FWSMがマルチモードで動作しているかどうかを確認するには、次の例に示すようにshow modeコマンドを使用します。

FWSM(config)#show mode
Security context mode: multiple
The flash mode is the SAME as the running mode.

次のコマンドを使用してHTTPSサーバを有効にし、192.168.1.0/24ネットワーク内のアドレスを持つ内部インターフェイス上のホストのみがASDM、SSH、またはTelnet接続を作成できるようにします。

asa(config)# http server enable
asa(config)# http 192.168.1.0 255.255.255.0 inside
asa(config)# telnet 192.168.1.0 255.255.255.0 inside
asa(config)# ssh 192.168.1.0 255.255.255.0 inside

ソフトウェアバージョンの確認

実行中のCisco FWSMソフトウェアのバージョンを確認するには、Cisco IOSソフトウェアまたはCisco Catalystオペレーティングシステムソフトウェアからshow moduleコマンドを発行して、システムにインストールされているモジュールとサブモジュールを確認します。

次の例は、スロット2にCisco FWSM(WS-SVC-FWM-1)がインストールされているシステムを示しています。

switch>show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1   16  SFM-capable 16 port 1000mb GBIC        WS-X6516-GBIC      SAL06334NS9
  2    6  Firewall Module                        WS-SVC-FWM-1       SAD10360485
  3    8  Intrusion Detection System             WS-SVC-IDSM-2      SAD0932089Z
  4    4  SLB Application Processor Complex      WS-X6066-SLB-APC   SAD093004BD
  5    2  Supervisor Engine 720 (Active)         WS-SUP720-3B       SAL0934888E

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  1  0009.11e3.ade8 to 0009.11e3.adf7   5.1   6.3(1)       8.5(0.46)RFW Ok
  2  0018.ba41.5092 to 0018.ba41.5099   4.0   7.2(1)       3.2(2)10     Ok
  3  0014.a90c.9956 to 0014.a90c.995d   5.0   7.2(1)       5.1(6)E1     Ok
  4  0014.a90c.66e6 to 0014.a90c.66ed   1.7                4.2(3)       Ok
  5  0013.c42e.7fe0 to 0013.c42e.7fe3   4.4   8.1(3)       12.2(18)SXF1 Ok

[...]

正しいスロットの場所を確認した後、show module <slot number>コマンドを発行して、次の例に示すように、実行中のソフトウェアバージョンを識別します。

switch>show module 2
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  2    6  Firewall Module                        WS-SVC-FWM-1       SAD10360485

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  2  0018.ba41.5092 to 0018.ba41.5099   4.0   7.2(1)       3.2(2)10     Ok

[...]

上の例は、「Sw」の列に示されているように、FWSMでソフトウェアバージョン3.2(2)10が実行されていることを示しています。

注:Cisco IOSソフトウェアの最近のバージョンでは、show moduleコマンドの出力に各モジュールのソフトウェアバージョンが表示されます。したがって、show module <slot number>コマンドを実行する必要はありません。

仮想スイッチングシステム(VSS)を使用して、2台の物理的なCisco Catalyst 6500シリーズスイッチを1つの論理仮想スイッチとして動作させることができる場合は、show module switch allコマンドを使用して、スイッチ1とスイッチ2に属するすべてのFWSMのソフトウェアバージョンを表示できます。このコマンドの出力は、show module <slot number>の出力に似ていますが、VSSの各スイッチのモジュールに関するモジュール情報が含まれています。

または、次の例に示すように、show versionコマンドを使用してFWSMからバージョン情報を直接取得することもできます。

FWSM> show version
FWSM Firewall Version 3.2(2)10 
[...]

Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。バージョンの表記は次の例のようになります。

FWSM Version: 3.2(2)10

脆弱性を含んでいないことが確認された製品

Cisco ASA 5500シリーズ適応型セキュリティアプライアンスを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

Cisco FWSMは、Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用の高速な統合型ファイアウォールモジュールです。FWSMは、ステートフルパケットフィルタリングとディープパケットインスペクションを備えたファイアウォールサービスを提供します。

SunRPCインスペクションに関するDoS脆弱性

Cisco FWSMは、SunRPCインスペクションが有効になっている場合に、巧妙に細工されたさまざまなSunRPCメッセージの処理中にデバイスのリロードを引き起こす可能性がある3つの脆弱性の影響を受けます。

注:これらの脆弱性は通過トラフィックによってのみ引き起こされます。デバイス宛てのトラフィックはこれらの脆弱性を引き起こしません。

これらの脆弱性は、Cisco Bug ID CSCte61710(登録ユーザ専用)、CSCte61622(登録ユーザ専用)、およびCSCte61662(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-2818、CVE-2010-2819、およびCVE-2010が0割0となっていますそれぞれ820です。

TCPのDoS脆弱性

単一の FWSM は、セキュリティ コンテキストと呼ばれる複数の仮想デバイスにパーティション化できます。各コンテキストにはそれぞれのセキュリティ ポリシー、インターフェイス、および管理者が存在します。マルチ コンテキストは、複数のスタンドアロン デバイスと同様です。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、および管理を含む多くの機能がサポートされています。

Cisco FWSMは、サービス拒否(DoS)の脆弱性の影響を受けます。この脆弱性により、認証されていない攻撃者が一連のTCPパケットの送信時にリロードを引き起こす可能性があります。Cisco FWSMがこの脆弱性の影響を受けるのは、マルチモード(仮想ファイアウォール)で設定され、Telnet、SSH、またはASDM接続を受け入れるように設定されている場合のみです。

注:この脆弱性を不正利用するには、TCP 3ウェイハンドシェイクが必要です。この脆弱性は、該当デバイス宛てのトラフィックによってのみ引き起こされます。通過トラフィックはこの脆弱性を引き起こしません。

この脆弱性は、Cisco Bug ID CSCtg68694(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-2821が割り当てられています。

回避策

SunRPCインスペクションの脆弱性は、SunRPCインスペクションが不要な場合は無効にすることで緩和できます。管理者は、ポリシーマップ設定内のクラス設定サブモードでno inspect sunrpcコマンドを発行することにより、SunRPCインスペクションを無効にすることができます。

TCP DoSの脆弱性は、信頼できるホストがHTTP、SSH、またはTelnet経由でFWSMと通信できるようにするだけで緩和できます。たとえば、次のコマンドを使用してHTTPSサーバを有効にし、192.168.1.0/24ネットワーク内のアドレスを持つ内部インターフェイス上のホストのみがASDM、SSH、またはTelnet接続を作成できるようにします。

asa(config)# http server enable
asa(config)# http 192.168.1.0 255.255.255.0 inside
asa(config)# telnet 192.168.1.0 255.255.255.0 inside
asa(config)# ssh 192.168.1.0 255.255.255.0 inside

ネットワーク内の Cisco デバイスに導入できる追加の緩和テクニックについては、このアドバイザリに関連する Cisco 適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20100804-fwsm)を参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

脆弱性

メジャー リリース

First Fixed Release(修正された最初のリリース)

SunRPCインスペクションに関するDoS脆弱性(CSCte61710、CSCte61622、およびCSCte61662)

3.1

3.1(17.2)

3.2

3.2(16.1)

4.0

4.0(10.1)

4.1

4.1(1.1)

TCPのDoS脆弱性(CSCtg68694)

3.1

脆弱性なし

3.2

3.2(17.2)

4.0

4.0(11.1)

4.1

4.1(1.2)

推奨リリース

次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。

メジャー リリース

推奨リリース

3.1

3.1(18)

3.2

3.2(18)

4.0

4.0(12)

4.1

4.1(2)

ソフトウェアのダウンロード

修正済みのCisco FWSMソフトウェアは、Cisco.comのSoftware Center(http://www.cisco.com/cisco/web/download/index.html)からダウンロードできます。Security > Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Softwareの順に選択してください。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

これらの脆弱性は、お客様からのサービスリクエストのトラブルシューティングと内部テストの際に発見されました。

URL

改訂履歴

リビジョン 1.0

2010年8月4日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。