High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco Catalyst 6500シリーズASAサービスモジュールは、次に示す複数の脆弱性の影響を受けます。
- MSNインスタントメッセンジャー(IM)インスペクションに関するDoS脆弱性
- TACACS+認証バイパスの脆弱性
- SunRPCインスペクションに関するDoS脆弱性4件
- Internet Locator Service(ILS)インスペクションに関するDoS脆弱性
これらの脆弱性は独立しています。1つの脆弱性に該当するリリースが、必ずしもその他の脆弱性に該当するとは限りません。
一部の脆弱性に対する回避策は、このアドバイザリに記載されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111005-asa で公開されています。注:Cisco Firewall Services Module(FWSM)は、TACACS+認証バイパスの脆弱性、SunRPCインスペクションに関するDoS脆弱性、およびILSインスペクションに関するDoS脆弱性の影響を受けます。FWSMに影響する脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは、http://www.cisco.com/warp/public/707/cisco-sa-20110831-fwsm.shtmlで確認できます。
該当製品
脆弱性のある製品
個々のバージョン情報については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。
MSN IMインスペクションに関するDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのMSN IMインスペクション機能は、DoS脆弱性の影響を受けます。
MSN IMインスペクションはデフォルトでは有効になっていません。
管理者は、MSN IMインスペクションを有効にして、メッセージがパラメータに違反したときのアクションを指定し、IMインスペクションポリシーマップを作成できます。その後、次の例に示すように、IMインスペクションを有効にするときに、インスペクションポリシーマップを適用できます。
policy-map type inspect im MY-MSN-INSPECT
parameters
match protocol msn-im
log
!
policy-map global_policy
class inspection_default
inspect im MY-MSN-INSPECT
TACACS+認証バイパスの脆弱性
認証バイパスの脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのTACACS+実装に影響します。
認証、許可、またはアカウンティング(AAA)に対してTACACS+を有効にするには、まずAAAプロトコルごとに少なくとも1つのAAAサーバグループを作成し、aaa-serverコマンドを使用して各グループに1つ以上のサーバを追加する必要があります。AAAサーバグループは名前で識別します。次の例は、AAAサーバグループをTACACS+認証用に設定する方法を示しています。
aaa-server my-tacacs-sever protocol tacacs+ aaa-server my-tacacs-server (inside) host 203.0.113.11
SunRPCインスペクションに関するDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSunRPCインスペクション機能には、4件のDoS脆弱性があります。
SunRPCインスペクションはデフォルトで有効になっています。
SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpc コマンドを使用して出力結果を確認します。次の例のような結果が返されます。
ciscoasa# show service-policy | include sunrpc
Inspect: sunrpc, packet 0, drop 0, reset-drop 0
Cisco ASAでSunRPCインスペクションを有効にするには、次の設定コマンドを使用します。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect sunrpc ... ! service-policy global_policy global
ILSインスペクションに関するDoS脆弱性
DoS脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのILSインスペクション機能に影響します。
ILSインスペクションはデフォルトでは有効になっていません。
ILSインスペクションが有効になっているかどうかを確認するには、show service-policy | include ils コマンドを使用して、次の例に示すような出力が返されることを確認します。
ciscoasa# show service-policy | include ils
Inspect: ils, packet 0, drop 0, reset-drop 0
Cisco ASAでILSインスペクションを有効にするには、次の設定コマンドを使用します。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect ils ... ! service-policy global_policy global
実行中のソフトウェアバージョンの判別方法
脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを知るには、show version コマンドを発行します。次の例は、ソフトウェアバージョン8.4(1)を実行しているCisco ASA 5500シリーズ適応型セキュリティアプライアンスを示しています。
ASA#show version | include Version Cisco Adaptive Security Appliance Software Version 8.4(1) Device Manager Version 6.4(1)
Cisco ASDMを使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
脆弱性を含んでいないことが確認された製品
詳細
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco Catalyst 6500シリーズASAサービスモジュールは、次の脆弱性の影響を受けます。
MSN IMインスペクションに関するDoS脆弱性
IM検査エンジンを使用すると、IMアプリケーションにきめ細かな制御を適用して、ネットワークの使用状況を制御し、機密データの漏洩、ワームの拡散、および企業ネットワークに対するその他の脅威を阻止できます。
DoS脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのMSN IMインスペクション機能に影響します。不正利用に成功すると、認証されていない攻撃者によって該当デバイスのリロードが引き起こされ、結果としてDoS状態が継続する可能性があります。
注:この脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。MSN IMインスペクションはデフォルトでは有効になっていません。
この脆弱性は、Cisco Bug ID CSCtl67486(登録ユーザ専用)として文書化され、CVE ID CVE-2011-3304が割り当てられています。
TACACS+認証バイパスの脆弱性
AAAを使用すると、ASAはユーザが誰か(認証)、ユーザが何ができるか(認可)、ユーザが何をしたか(アカウンティング)を判別できます。Cisco ASAは、VPNユーザ、ファイアウォールセッション、およびデバイスへの管理アクセスに対してTACACS+認証をサポートしています。
Cisco ASAのTACACS+実装には、認証バイパスの脆弱性が存在します。不正利用に成功すると、リモート攻撃者はVPNユーザのTACACS+認証、ファイアウォールセッション、またはデバイスへの管理アクセスをバイパスできる可能性があります。攻撃者がこの脆弱性を不正利用するには、ASAとTACACS+サーバ間のネットワークにアクセスできる必要があります。
この脆弱性は、Cisco Bug ID CSCto40365(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-3298が割り当てられています。
SunRPCインスペクションに関するDoS脆弱性
Sun RPCインスペクションエンジンは、Sun RPCプロトコルのアプリケーションインスペクションを実行します。Sun RPCは、ネットワークファイルシステム(NFS)およびネットワーク情報サービス(NIS)によって使用されます。Sun RPCサービスは任意のポートで実行できます。クライアントがサーバー上のSun RPCサービスにアクセスする場合は、サービスが実行されているポートを学習する必要があります。クライアントは、既知のポート111でポートマッパープロセス(通常はrpcbind)に問い合せて、これを実行します。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSunRPCインスペクション機能には4つのDoS脆弱性があり、認証されていない攻撃者によって該当デバイスのリロードが引き起こされる可能性があります。
注:これらの脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。これらの脆弱性は、TCPではなくUDPパケットを使用することで引き起こされる可能性があります。SunRPCインスペクションはデフォルトで有効になっています。
これらの脆弱性は、Cisco Bug ID CSCto92380(登録ユーザ専用)、CSCtq06065(登録ユーザ専用)、CSCtq06062(登録ユーザ専用)、CSCto92398(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-329が9が割されています9、CVE-2011-3300、CVE-2011-3301およびCVE-2011-3302
ILSインスペクションに関するDoS脆弱性
ILSインスペクションエンジンは、LDAPを使用してディレクトリ情報をILSサーバと交換するMicrosoft NetMeeting、SiteServer、およびActive Directory製品のNATサポートを提供します。
DoS脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのILSインスペクション機能に影響します。不正利用に成功すると、認証されていない攻撃者によって該当デバイスのリロードが引き起こされ、結果としてDoS状態が継続する可能性があります。
注:この脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。ILSインスペクションはデフォルトでは有効になっていません。
この脆弱性は、Cisco Bug ID CSCtq57697(登録ユーザ専用)として文書化され、CVE CVE-2011-3303が割り当てられています。
回避策
このCisco Security Advisoryでは、複数の個別の脆弱性について説明しています。これらの脆弱性およびそれぞれ対応策は互いから独立しています。
MSNインスタントメッセンジャー(IM)インスペクションに関するDoS脆弱性
この脆弱性は、MSN IMインスペクションが不要な場合に無効にすることで軽減できます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect imコマンドを発行することにより、MSN IMインスペクションを無効にすることができます。MSN IMインスペクションを無効にすると、MSN IMトラフィックがセキュリティアプライアンスで停止する可能性があります。
TACACS+認証バイパスの脆弱性
RADIUS、Active Directoryなどの別の認証プロトコルを使用する以外に、この脆弱性に対する回避策はありません。
SunRPCインスペクションに関するDoS脆弱性
SunRPCインスペクションが不要な場合、管理者はこの脆弱性を無効にすることができます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect sunrpcコマンドを発行することにより、SunRPCインスペクションを無効にすることができます。SunRPCインスペクションを無効にすると、SunRPCトラフィックがセキュリティアプライアンスで停止する可能性があります。
ILSインスペクションのDoS脆弱性
ILSインスペクションが不要な場合、管理者はこの脆弱性を無効にすることで緩和できます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect ilsコマンドを発行することにより、ILS検査を無効にできます。ILSインスペクションを無効にすると、ILSトラフィックがセキュリティアプライアンスで停止する可能性があります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
|
脆弱性 |
メジャー リリース |
First Fixed Release(修正された最初のリリース) |
|
MSNインスタントメッセンジャー(IM)インスペクションに関するDoS脆弱性(CSCtl67486) |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
7.2(5.3) |
|
|
8.0 |
8.0(5.25) |
|
|
8.1 |
8.1(2.50) |
|
|
8.2 |
8.2(5.11) |
|
|
8.3 |
8.3(2.23) |
|
|
8.4 |
8.4(2) |
|
|
8.5 |
8.5(1.1) |
|
|
TACACS+認証バイパスの脆弱性(CSCto40365) |
7.0 |
7.0(8.13) |
|
7.1 |
脆弱性あり、7.2(5.4)以降に移行 |
|
|
7.2 |
7.2(5.3) |
|
|
8.0 |
8.0(5.24) |
|
|
8.1 |
8.1(2.50) |
|
|
8.2 |
8.2(5) |
|
|
8.3 |
8.3(2.18) |
|
|
8.4 |
8.4(1.10) |
|
|
8.5 |
8.5(1.1) |
|
|
SunRPCインスペクションに関するDoS脆弱性 (CSCto92380、CSCtq06065、CSCtq06062、CSCto92398) |
7.0 |
7.0(8.13) |
|
7.1 |
脆弱性あり、7.2(5.4)以降に移行 |
|
|
7.2 |
7.2(5.4) |
|
|
8.0 |
8.0(5.25) |
|
|
8.1 |
脆弱性あり、8.2以降に移行 |
|
|
8.2 |
8.2(5.11) |
|
|
8.3 |
8.3(2.23) |
|
|
8.4 |
8.4(2.6) |
|
|
8.5 |
8.5(1.1) |
|
|
ILSインスペクションに関するDoS脆弱性(CSCtq57697) |
7.0 |
7.0(8.13) |
|
7.1 |
脆弱性あり、7.2(5.4)以降に移行 |
|
|
7.2 |
7.2(5.4) |
|
|
8.0 |
8.0(5.25) |
|
|
8.1 |
8.1(2.50) |
|
|
8.2 |
8.2(5.6) |
|
|
8.3 |
8.3(2.23) |
|
|
8.4 |
8.4(2.7) |
|
|
8.5 |
8.5(1.1) |
推奨リリース
次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。
|
メジャー リリース |
推奨リリース |
|
7.0 |
7.0(8.13) |
|
7.1 |
脆弱性あり、7.2(5.4)以降に移行 |
|
7.2 |
7.2(5.4) |
|
8.0 |
8.0(5.25) |
|
8.1 |
脆弱性あり、8.2以降に移行 |
|
8.2 |
8.2(5.13) |
|
8.3 |
8.3(2.25) |
|
8.4 |
8.4(2.8) |
|
8.5 |
8.5(1.1) |
Cisco ASAソフトウェアは、http://www.cisco.com/cisco/software/navigator.html?mdfid=279513386&flowid=22664からダウンロードできます。これらのバージョンの一部は暫定バージョンであり、ダウンロードページの[暫定]タブを展開すると表示されます。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
すべてのDoS脆弱性は、シスコの社内テストで発見されたものです。
TACACS+認証の脆弱性は、カスタマーサービスリクエストのトラブルシューティング中に発見されました。
URL
改訂履歴
| リビジョン 1.2 | 2012年7月14日 | 該当製品のメタタグをアップデート。 |
| 改訂 1.1 |
2011年10月5日 |
推奨リリースの表を更新。 |
| 改訂 1.0 |
2011年10月5日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。