日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Communications Managerには、サービス拒否(DoS)の脆弱性が5つ存在します。
シスコはこの脆弱性に対処するため、該当するバージョンのCisco Unified Communications Managerの無償ソフトウェアアップデートをリリースしました。SIPおよびパケットキャプチャサービスのDoS脆弱性に対しては回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110824-cucm で公開されています。
このアドバイザリに記載されている脆弱性のうち2つは、Cisco Intercompany Media Engineにも影響を与えます。
Cisco Intercompany Media Engineに影響を与える脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110824-imeで確認できます。
該当製品
脆弱性のある製品
次の製品は、このアドバイザリに記載されている脆弱性のうち少なくとも1つの影響を受けます。
- Cisco Unified Communications Manager 4.x
- Cisco Unified Communications Manager 6.x
- Cisco Unified Communications Manager 7.x
- Cisco Unified Communications Manager 8.x
注:Cisco Unified Communications Managerバージョン5.1は、2010年2月13日にソフトウェアメンテナンスが終了しています。Cisco Unified Communications Manager 5.xバージョンをご使用のお客様は、サポートされているCisco Unified Communications Managerのバージョンへのアップグレードに関してシスコサポートチームにお問い合わせください。
脆弱性を含んでいないことが確認された製品
詳細
Cisco Unified Communications Managerは、Cisco IP Telephonyソリューションのコール処理コンポーネントであり、企業のテレフォニー機能を、IP電話、メディア処理デバイス、VoIPゲートウェイ、マルチメディアアプリケーションなどのパケットテレフォニーネットワークデバイスに拡張します。
DoSの脆弱性
Cisco Unified Communications Managerには5つのDoS脆弱性があり、重要なプロセスが失敗し、音声サービスが中断される可能性があります。
1つ目のDoS脆弱性は、デフォルトで有効になっているパケットキャプチャサービスに関連しています。パケットキャプチャサービスがタイムアウトになるか、アイドル状態のTCP接続を閉じることができない。リモート攻撃者が複数の接続を開いてCisco Unified Communications Managerのメモリを枯渇させ、Cisco Unified Communications Managerを再起動させる可能性があります。サービスパラメータをFalseに設定して、Cisco Unified Communications Manager Administration Interfaceでパケットキャプチャサービスを無効にする必要があります。変更を有効にするには、Cisco Unified Communications Managerアプリケーションを再起動する必要があります。この脆弱性は、Cisco Bug ID CSCtf97162(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-2560が割り当てられています。この脆弱性は、Cisco Unified Communications Managerの4.xバージョンのみに影響します。
2つ目のDoS脆弱性は、メディアターミネーションポイント(MTP)の特定の設定に関連しています。MTPがg729ar8コーデックのみで設定されている場合は、片通話が発生する場合があります。特定の状況では、サービスの中断が発生する可能性があり、SIPコールのSession Description Protocol(SDP)部分を処理する際にSession Initiation Protocol(SIP)プロセスによってスタックトレースが生成されます。この脆弱性は、Cisco Bug ID CSCtc61990(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-2561が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン7.0(x)以降にのみ適用され、バージョン7.1(5b)su4および8.0(1)で修正されています。
3つ目のDoS脆弱性は、特定のSIP INVITEメッセージを処理する際のコアダンプに関連するものです。この脆弱性は、Cisco Bug ID CSCth43256(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-2562が割り当てられています。この脆弱性は、Cisco Unified Communications Managerバージョン6.x以降に影響し、Cisco Unified Communications Managerバージョン6.1(5)su2、7.1(5b)su3、8.0(3a)su1、および8.5(1)で修正されています。
残りの2つのDoS脆弱性は、Service Advertisement Framework(SAF)に関係するものです。認証されていない攻撃者は、巧妙に細工されたSAFパケットを該当デバイスに送信することで、これらの脆弱性を不正利用する可能性があります。不正利用に成功すると、デバイスのリロードが引き起こされる可能性があります。これらの脆弱性は、Cisco Bug ID CSCth26669 (登録ユーザ専用)およびCSCth19417 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-2563およびCVE-2011-2564がそれぞれ割り当てられています。これらの脆弱性は、Cisco Unified Communications Manager 8.xに影響し、Cisco Unified Communications Managerバージョン8.5(1)で修正されています。Cisco Intercompany Media Engineリリース8.xもこれらの脆弱性の影響を受けます。Cisco Intercompany Media Engineに影響を与える脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110824-imeで確認できます。
注:SAFの脆弱性を引き起こすには、3ウェイハンドシェイクを使用してTCP接続を確立する必要があります。
回避策
SIPのDoS脆弱性に対しては回避策があります。Cisco Unified Communications Managerバージョン6.1(4)、7.1(2)、および8.0(1)では、SIP処理を無効にする機能が導入されました。SIP処理はデフォルトで有効になっています。SIP処理を必要としないお客様は、次の手順に従ってSIP処理を無効にすることができます。
- ステップ1:Cisco Unified Communications Manager Administrationインターフェイスにログインします。
- ステップ2:システム>サービスパラメータに移動し、適切なCisco Unified Communications ManagerサーバとCisco CallManagerサービスを選択します。
- ステップ3:SIP Interoperability EnabledパラメータをFalseに変更し、Saveをクリックします。
注:SIP処理の変更を有効にするには、Cisco CallManagerサービスを再起動する必要があります。サービスを再起動する方法については、次の場所にあるドキュメントの「Restarting the Cisco CallManager Service」セクションを参照してください。http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/admin/7_1_2/ccmcfg/b03dpi.html#wp1075124
スクリーニングデバイスにフィルタリングを実装し、Cisco Unified Communications ManagerサーバへのSIPアクセスを必要とするネットワークからのTCPポート5060と5061、およびUDPポート5060と5061へのアクセスのみを許可することで、これらの脆弱性を緩和できます。
Cisco Communications Managerバージョン4.xのパケットキャプチャサービスに関連するDoS脆弱性に対しては回避策があります。トラブルシューティングにパケットキャプチャサービスを必要としないお客様は、次の手順に従ってこのプロセスを無効にすることができます。
- ステップ1:Cisco Unified Communications Manager Administration Webインターフェイスにログインします。
- ステップ2:システム>サービスパラメータに移動し、適切なCisco Unified Communications Managerサーバとパケットキャプチャサービスを選択します。
- ステップ3:Packet Capture EnabledパラメータをFalseに変更し、Saveをクリックします。
注:パケットキャプチャサービスの変更を有効にするには、Cisco CallManagerサービスを再起動する必要があります。サービスを再起動する方法については、次の場所にあるドキュメントの「Restarting the Cisco CallManager Service」セクションを参照してください。http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/service/4_2_3/ccmsrvs/sscontrl.html
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、次の場所にある付属ドキュメント『Cisco Applied Mitigation Bulletin: Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Unified Communications Manager』で参照できます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
シスコでは、表の「推奨リリース」列のリリース、またはそれ以降のリリースにアップグレードすることをお勧めします。
|
Cisco Unified Communications Managerのバージョン |
推奨リリース |
|---|---|
|
6.x |
6.1(5)SU3 |
|
7.x |
7.1(5b)SU4 |
|
8.0 |
8.0(3a)SU2 |
|
8.5 |
8.5(1)SU2、8.6(1) |
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
これらの脆弱性は、社内テストおよびお客様のサービスリクエストのトラブルシューティング中に発見されました。