日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Communications Manager(旧称Cisco CallManager)には、次の脆弱性が含まれています。
- Session Initiation Protocol(SIP)サービスに影響するサービス拒否(DoS)の脆弱性が3つ
- ディレクトリトランスバーサルの脆弱性
- SQLインジェクションの脆弱性2件
シスコはこの脆弱性に対処するため、該当するCisco Unified Communications Managerバージョンの無償ソフトウェアアップデートをリリースしました。回避策が存在するのは、SIP DoSの脆弱性に対してだけです。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110427-cucm で公開されています。
該当製品
脆弱性のある製品
次の製品は、このアドバイザリに記載されている脆弱性のうち少なくとも1つの影響を受けます。
- Cisco Unified Communications Manager 6.x
- Cisco Unified Communications Manager 7.x
- Cisco Unified Communications Manager 8.x
注:Cisco Unified Communications Managerバージョン5.1は、2010年2月13日にソフトウェアメンテナンスが終了しています。Cisco Unified Communications Manager 5.xバージョンをご使用のお客様は、サポートされているCisco Unified Communications Managerのバージョンへのアップグレードに関してシスコサポートチームにお問い合わせください。
脆弱性を含んでいないことが確認された製品
詳細
Cisco Unified Communications Managerは、Cisco IP Telephonyソリューションのコール処理コンポーネントであり、企業のテレフォニー機能を、IP電話、メディア処理デバイス、VoIPゲートウェイ、マルチメディアアプリケーションなどのパケットテレフォニーネットワークデバイスに拡張します。
SIPのDoS脆弱性
Cisco Unified Communications Managerには、SIPメッセージの処理に関係するDoS脆弱性が3つ存在します。各脆弱性は、重要なプロセスの失敗を引き起こす可能性がある不正なSIPメッセージによって引き起こされ、その結果、音声サービスの中断が発生します。すべてのSIPポート(TCPポート5060および5061、UDPポート5060および5061)が影響を受けます。
最初のSIP DoS脆弱性は、Cisco Bug ID CSCti42904(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-1604が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)、8.0(3a)su2、7.1(5b)su3、および6.1(5)su3で修正されています。
2つ目のSIP DoS脆弱性は、Cisco Bug ID CSCth39586(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-1605が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)、8.0(3)、7.1(5b)su2、および6.1(5)su2で修正されています。
3つ目のSIP DoS脆弱性は、Cisco Bug ID CSCtg62855(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-1606が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)、8.0(3)、7.1(5)su1、および6.1(5)su2で修正されています。
ディレクトリトランスバーサルの脆弱性
Cisco Unified Communications Managerには、POST要求の処理に関連する脆弱性が存在します。影響を受けるデバイスへのパケットを代行受信できる認証されたリモートの攻撃者は、別の場所またはファイル名を指定する可能性があり、悪意のあるファイルをアップロードする可能性があります。この脆弱性は、Cisco Bug ID CSCti81603(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-1607が割り当てられています。2つ目の脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)、8.0(3a)su1、7.1(5b)su3、および6.1(5)su3で修正されています。
SQLインジェクションの脆弱性
Cisco Unified Communications Managerは、次のSQLインジェクションの脆弱性の影響を受けます。
- 1つ目の脆弱性は、認証されたリモートの攻撃者によるシステム設定の変更、ユーザの作成、変更、削除、またはCisco Unified Communications Managerの設定の変更を可能にします。この脆弱性は、Cisco Bug ID CSCtg85647 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-1609が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)、8.0(3)、7.1(5)su1、および6.1(5)su2で修正されています。
- 2つ目の脆弱性により、認証されていないリモートの攻撃者がシステム設定を変更したり、ユーザを作成、変更、削除したり、Cisco Unified Communications Managerの設定を変更したりする可能性があります。この脆弱性は、Cisco Bug ID CSCtj42064 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-1610が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン8.5(1)su1、8.0(3a)su2、7.1(5)su4、および6.1(5)su3で修正されています。
回避策
回避策が存在するのは、SIP DoSの脆弱性に対してだけです。Cisco Unified Communications Managerバージョン6.1(4)、7.1(2)、および8.0(1)では、SIP処理を無効にする機能が導入されました。SIP処理はデフォルトで有効になっています。SIP処理を使用しないお客様は、次の手順に従ってSIP処理を無効にすることができます。
- ステップ1:Cisco Unified Communications Manager Administration Webインターフェイスにログインします。
- ステップ2:システム>サービスパラメータに移動し、適切なCisco Unified Communications ManagerサーバとCisco CallManagerサービスを選択します。
- ステップ3:「SIP Interoperability Enabled」パラメータをFalseに変更して、Saveをクリックします。
注:SIP処理の変更を有効にするには、Cisco CallManagerサービスを再起動する必要があります。サービスを再起動する方法については、次の場所にあるドキュメントの「Restarting the Cisco CallManager Service」セクションを参照してください。http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/admin/7_1_2/ccmcfg/b03dpi.html#wp1075124
スクリーニングデバイスにフィルタリングを実装し、Cisco Unified Communications ManagerサーバへのSIPアクセスを必要とするネットワークからのみTCPポート5060および5061、UDPポート5060および5061へのアクセスを許可することで、これらの脆弱性を緩和できます。
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、次の場所にある付属ドキュメント『Cisco Applied Mitigation Bulletin: Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Unified Communications Manager』で参照できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110427-cucm
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
|
Cisco Unified Communications Managerのバージョン |
推奨リリース |
|---|---|
|
6.x |
6.1(5)SU3 |
|
7.x |
7.1(5b)SU4 |
|
8.0 |
8.0(3a)SU2 |
|
8.5 |
8.5(1)SU1 |
注:Cisco Unified Communications Managerの7.1(5b)SU4リリースは、2011年4月末までに利用可能になる予定です。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
SQLインジェクションの脆弱性は、TippingPointのZero Day InitiativeおよびCigitalからシスコに報告されました。これらは、CigitalのAlberto Revelli、vSecurityのTimothy Morgan、およびSven Tauteによって発見されました。
残りの脆弱性は、社内テストおよびお客様のサービスリクエストのトラブルシューティング中に発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2011年4月27日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。