High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco Firewall Services Module(FWSM)は、次の脆弱性の影響を受けます。
- Syslogメッセージのメモリ破損によるDoS脆弱性
- 認証プロキシのDoS脆弱性
- TACACS+認証バイパスの脆弱性
- Sun Remote Procedure Call(SunRPC)インスペクションに関するDoS脆弱性
- Internet Locator Server(ILS)インスペクションに関するDoS脆弱性
これらの脆弱性は相互依存していないため、1つの脆弱性に該当するリリースが必ずしもその他の脆弱性に該当するとは限りません。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。このアドバイザリで公開されている一部の脆弱性に対しては回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111005-fwsm で公開されています。
注:Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco Catalyst 6500シリーズASAサービスモジュールは、このアドバイザリに記載されている一部の脆弱性の影響を受けます。Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco Catalyst 6500シリーズASAサービスモジュールに影響を与えるこれらの脆弱性およびその他の脆弱性については、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111005-asaで確認できます。
該当製品
脆弱性のある製品
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco FWSMは、複数の脆弱性の影響を受けます。影響を受けるCisco FWSMソフトウェアのバージョンは、脆弱性によって異なります。脆弱性のあるバージョンに関する特定の情報については、「ソフトウェアバージョンと修正」セクションを参照してください。
Syslogメッセージのメモリ破損によるDoS脆弱性
脆弱性のあるバージョンのCisco FWSMソフトウェアを実行しているデバイスは、次の条件が満たされると、この脆弱性の影響を受けます。
- デバイスにIPv6アドレスのインターフェイスがある
- システムロギングが有効になっている(コマンドlogging enable)
- デバイスは、システムログメッセージ302015を生成するように設定されています(次の例を参照)
システムログメッセージ302015のデフォルトの重大度レベルは6(informational)であるため、システム管理者がこのデフォルトの重大度レベルを変更していないと仮定すると、脆弱性はデバイスがレベル6(デバッグ)またはレベル7(デバッグ)の任意の宛先にロギングされている場合にトリガーされる可能性があります。たとえば、次の設定は脆弱です。
logging enable ! logging console informational logging buffered informational [...]
システムログメッセージ302015を含むカスタムメッセージリストを(logging listコマンドを介して)重大度別またはメッセージIDの明示的な指定で使用する方法も、脆弱性の影響を受ける設定です。たとえば、次の設定にも脆弱性が存在します。
logging enable ! logging list MYLIST level informational <and/or> logging list MYLIST message 302015 ! logging trap MYLIST
注:システムログメッセージのデフォルトの重大度レベルは変更できます。システムログメッセージ302015のデフォルトの重大度レベルが変更され、新しい重大度レベルの任意の宛先にログを記録するようにデバイスが設定されている場合、そのデバイスは脆弱なままです。
認証プロキシのDoS脆弱性
脆弱性のあるバージョンのCisco FWSMソフトウェアを実行しているデバイスは、ネットワークアクセスに認証、許可、アカウンティング(AAA)を使用するように設定されている場合、この脆弱性の影響を受けます。これはカットスルーまたは認証プロキシとも呼ばれます。ネットワークアクセス認証機能は、該当するデバイスの設定にaaa authentication matchまたはaaa authentication includeコマンドが存在する場合に有効になります。
TACACS+認証バイパスの脆弱性
脆弱性のあるバージョンのCisco FWSMソフトウェアを実行しているデバイスは、AAAにTerminal Access Controller Access-Control System Plus(TACACS+)プロトコルを使用するように設定されている場合、この脆弱性の影響を受けます。AAAサーバグループが次のように定義されている場合、デバイスはTACACS+用に設定されます。
aaa-server my-tacacs-server protocol tacacs+ aaa-server my-tacacs-server (inside) host 192.168.1.1 [...]
注:前の例では、「my-tacacs-server」がAAAサーバグループの名前です。
SunRPCインスペクションに関するDoS脆弱性
脆弱性のあるバージョンのCisco FWSMソフトウェアを実行しているデバイスは、SunRPCインスペクションが有効になっている場合、これらの脆弱性の影響を受けます。SunRPCインスペクションはデフォルトで有効になっています。
SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpcコマンドを発行し、コマンドが出力を返すことを確認します。次に出力例を示します。
FWSM# show service-policy | include sunrpc
Inspect: sunrpc, packet 324, drop 5, reset-drop 0
また、SunRPCインスペクションが有効なデバイスの設定は次のようになります(inspect sunrpcコマンドはSunRPCインスペクションを実際に有効にするコマンドですが、Cisco FWSMがトラフィックを実際に検査するために他のコマンドが必要です)。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect sunrpc ! service-policy global_policy global
注:サービスポリシーは、特定のインターフェイスに適用することもできます。(前の例ではグローバルアプリケーションを示しています)。
ILSインスペクションに関するDoS脆弱性
脆弱性のあるバージョンのCisco FWSMソフトウェアを実行しているデバイスは、ILSプロトコルのインスペクションが有効になっている場合、これらの脆弱性の影響を受けます。ILSインスペクションはデフォルトでは有効になっていません。
ILSインスペクションが有効かどうかを確認する方法については、『SunRPCインスペクションに関するDoS脆弱性』を参照してください。「sunrpc」の代わりに設定キーワード「ils」を使用します。
実行中のソフトウェアバージョンの判別方法
デバイスで実行されているCisco FWSMソフトウェアのバージョンを確認するには、Cisco IOSソフトウェアまたはCisco Catalystオペレーティングシステムソフトウェアからshow moduleコマンドを発行して、システムにインストールされているモジュールとサブモジュールを確認します。
次の例は、スロット2にCisco FWSM(WS-SVC-FWM-1)がインストールされているシステムを示しています。
switch>show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 16 SFM-capable 16 port 1000mb GBIC WS-X6516-GBIC SAL06334NS9 2 6 Firewall Module WS-SVC-FWM-1 SAD10360485 3 8 Intrusion Detection System WS-SVC-IDSM-2 SAD0932089Z 4 4 SLB Application Processor Complex WS-X6066-SLB-APC SAD093004BD 5 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL0934888E Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 1 0009.11e3.ade8 to 0009.11e3.adf7 5.1 6.3(1) 8.7(0.22)BUB Ok 2 0018.ba41.5092 to 0018.ba41.5099 4.0 7.2(1) 4.0(16) Ok 3 0014.a90c.9956 to 0014.a90c.995d 5.0 7.2(1) 7.0(4)E4 Ok 4 0014.a90c.66e6 to 0014.a90c.66ed 1.7 Unknown Unknown PwrDown 5 0013.c42e.7fe0 to 0013.c42e.7fe3 4.4 8.1(3) 12.2(33)SXH8 Ok [...]
正しいスロットを見つけたら、show module <slot number>コマンドを発行して、実行されているソフトウェアバージョンを確認します。次に例を示します。
switch>show module 2 Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 2 6 Firewall Module WS-SVC-FWM-1 SAD10360485 Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 2 0018.ba41.5092 to 0018.ba41.5099 4.0 7.2(1) 4.0(16) Ok [...]
上の例は、Cisco FWSMがソフトウェアバージョン4.0(16)を実行していることを示しています(Sw列を参照)。
注:Cisco IOSソフトウェアの最近のバージョンでは、show moduleコマンドの出力に各モジュールのソフトウェアバージョンが表示されます。したがって、show module <slot number>コマンドを実行する必要はありません。
仮想スイッチングシステム(VSS)を使用して、2台の物理的なCisco Catalyst 6500シリーズスイッチを1つの論理仮想スイッチとして動作させることができる場合は、show module switch allコマンドを使用して、スイッチ1とスイッチ2に属するすべてのFWSMのソフトウェアバージョンを表示できます。このコマンドの出力はshow module <slot number>の出力に似ていますが、VSSの各スイッチのモジュールに関するモジュール情報が含まれています。
または、次の例に示すように、show versionコマンドを使用してCisco FWSMからバージョン情報を直接取得することもできます。
FWSM> show version FWSM Firewall Version 4.0(16) [...]
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウの表、またはCisco ASDMウィンドウの左上隅に表示されるソフトウェアのバージョンを確認できます。バージョン表記は次の例のようになります。
FWSM Version: 4.0(16)
脆弱性を含んでいないことが確認された製品
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスとCisco Catalyst 6500シリーズASAサービスモジュールを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
Cisco FWSMは、Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用の高速な統合型ファイアウォールモジュールです。FWSMは、ステートフルパケットフィルタリングとディープパケットインスペクションを備えたファイアウォールサービスを提供します。
Cisco FWSMは、次のセクションで説明する複数の脆弱性の影響を受けます。
Syslogメッセージのメモリ破損によるDoS脆弱性
Cisco FWSMにはシステムログ(syslog)機能があり、通常動作の監視や、ネットワークまたはデバイスの問題のトラブルシューティングに関する情報を提供します。システムログメッセージには異なる重大度(デバッグ、情報、エラー、重大など)が割り当てられ、異なるロギング先に送信できます。
サービス拒否の脆弱性は、特定のシステムログメッセージ(メッセージID 302015、「Built outbound UDP connection session-id for src-intf:IP/Port to dst-intf:IP/Port ARP-Incomplete」)の実装に存在します。このメッセージは、デバイスをフロースルーしたIPv6トラフィックに対してシステムログメッセージを生成する必要がある場合に、メモリ不良を引き起こし、Cisco FWSMのロックアップまたはクラッシュののの原因となります。Cisco FWSMは自動的に回復しない場合があり、回復するには手動でのリブートが必要になる場合があります。
システムログメッセージ302015のデフォルトの重大度レベルは6(情報)です。このシステムメッセージのデフォルトの重大度レベルを変更しても、システムが新しい重大度レベルで宛先にログを記録している場合は、問題の発生を防ぐことはできません。Cisco FWSMには、IPv6アドレスを持つインターフェイスが必要です。そうでない場合、この問題は発生しません。
この脆弱性は、Cisco Bug ID CSCti83875 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-3296が割り当てられています。
認証プロキシのDoS脆弱性
Cisco FWSM認証プロキシ機能を使用すると、ネットワークリソースへのアクセスを制御するためにAAAを使用できます。具体的には、Cisco FWSMカットスループロキシは、最初にアプリケーション層でユーザにチャレンジを行い、次にAAAサーバに対して認証を行います。Cisco FWSMがユーザを認証すると、セッションフローがシフトされ、すべてのトラフィックはユーザのコンピュータとアクセスされるネットワークリソースの間を直接流れます。
Cisco FWSMソフトウェアの一部のバージョンにはサービス拒否の脆弱性があり、カットスルーまたは認証プロキシとも呼ばれる、認証を使用してユーザにネットワークへのアクセスを許可するように設定されたデバイスに影響を与えます。脆弱性のある設定は、aaa authentication matchコマンドまたはaaa authentication includeコマンドが含まれている設定です。この脆弱性は、ネットワークアクセス認証要求の数が多い場合にトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCtn15697 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-3297が割り当てられています。
TACACS+認証バイパスの脆弱性
AAAにより、Cisco FWSMはユーザが誰であるか(認証)、ユーザが何をできるか(認可)、ユーザが何をしたか(アカウンティング)を判別できます。Cisco FWSMは、VPNユーザ、ファイアウォールセッション、およびデバイスへの管理アクセスに対してTACACS+認証をサポートしています。
Cisco FWSMのTACACS+実装には、認証バイパスの脆弱性が存在します。不正利用に成功すると、リモート攻撃者がVPNユーザのTACACS+認証をバイパスしたり(Cisco FWSMではVPNセッションの管理のみが許可されます)、ファイアウォールセッションをバイパスしたり、デバイスへの管理アクセスをバイパスできる可能性があります。
この脆弱性は、Cisco Bug ID CSCto74274 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-3298が割り当てられています。
SunRPCインスペクションに関するDoS脆弱性
SunRPCインスペクションエンジンは、SunRPCプロトコルのアプリケーションインスペクションを有効または無効にします。SunRPCは、ネットワークファイルシステム(NFS)およびネットワーク情報サービス(NIS)によって使用されます。SunRPCサービスは任意のポートで実行できます。クライアントがサーバー上のSunRPCサービスにアクセスする場合は、サービスが実行されているポートを学習する必要があります。クライアントは、既知のポート111でポートマッパープロセス(通常はrpcbind)に問い合せて、これを実行します。
Cisco FWSMは、SunRPCインスペクションが有効になっている場合に、巧妙に細工されたさまざまなSunRPCメッセージの処理中にデバイスのリロードを引き起こす可能性がある4つの脆弱性の影響を受けます。これらの脆弱性は通過トラフィックによってのみ引き起こされます。デバイス宛てのトラフィックはこれらの脆弱性を引き起こしません。
これらの脆弱性は、Cisco Bug ID CSCtq09972(登録ユーザ専用)、CSCtq09978(登録ユーザ専用)、CSCtq09986(登録ユーザ専用)、およびCSCtq09989(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-3299、CVE-21が01が99に割されていますそれぞれ3300、CVE-2011-3301、CVE-2011-3302です。
ILSインスペクションに関するDoS脆弱性
ILSインスペクションエンジンは、Lightweight Directory Access Protocol(LDAP)を使用してディレクトリ情報をILSサーバと交換するMicrosoft NetMeeting、SiteServer、およびActive Directory製品に、ネットワークアドレス変換(NAT)サポートを提供します。
Cisco FWSMは、ILSインスペクションが有効な場合に、不正なILSメッセージの処理中にデバイスがリロードされる可能性がある脆弱性の影響を受けます。この脆弱性は通過トラフィックによってのみ引き起こされます。デバイス宛てのトラフィックはこの脆弱性を引き起こしません。
この脆弱性は、Cisco Bug ID CSCtq57802 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-3303が割り当てられています。
回避策
このCisco Security Advisoryでは、複数の個別の脆弱性について説明しています。これらの脆弱性およびそれぞれ対応策は互いから独立しています。
Syslogメッセージのメモリ破損によるDoS脆弱性
コマンドno logging message 302015を使用してsyslog 302015を完全に無効にすることは、この脆弱性に対する効果的な回避策です。
認証プロキシのDoS脆弱性
この脆弱性に対する回避策はありません。
TACACS+認証バイパスの脆弱性
RADIUSやLDAPなどの別の認証プロトコルを使用する以外に、この脆弱性に対する回避策はありません。
SunRPCインスペクションに関するDoS脆弱性
SunRPCインスペクションが不要な場合、管理者はこの脆弱性を無効にすることができます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect sunrpcコマンドを発行することにより、SunRPCインスペクションを無効にすることができます。SunRPCインスペクションを無効にすると、SunRPCトラフィックがセキュリティアプライアンスを通過しなくなる可能性があります。
ILSインスペクションに関するDoS脆弱性
ILSインスペクションが不要な場合、管理者はこの脆弱性を無効にすることで緩和できます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect ilsコマンドを発行することにより、ILS検査を無効にできます。ILSインスペクションを無効にすると、ILSトラフィックがセキュリティアプライアンスで停止する可能性があります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のCisco FWSMソフトウェアの表の各行には、主要なCisco FWSMソフトウェアトレイン、および最初の修正リリースの列に修正を含むトレインの最初のリリース(「最初の修正リリース」)と提供予定日(現在提供されていない場合)が記載されています。特定の列のリリースより前(First Fixed Releaseより前)のリリースを実行しているデバイスは、脆弱性が存在することが確認されています。脆弱性のあるリリースは、少なくとも示されたリリース、または以降のバージョン(First Fixed Releaseラベル以降)にアップグレードする必要があります。
|
メジャー リリース |
First Fixed Release(修正された最初のリリース) |
|---|---|
|
3.1 |
3.1(21) |
|
3.2 |
3.2(22) |
|
4.0 |
4.0(16) |
|
4.1 |
4.1(7) |
修正済みのCisco FWSMソフトウェアは、Cisco.comのSoftware Centerからhttp://www.cisco.com/cisco/software/navigator.htmlにアクセスし、Products > Security > Firewall > Firewall Integrated Switch/Router Services > Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Softwareの順に選択することでダウンロードできます。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
Syslogメッセージのメモリ破損によるサービス拒否の脆弱性、認証プロキシにおけるサービス拒否の脆弱性、およびTACACS+認証バイパスの脆弱性は、お客様からのサービスリクエストのトラブルシューティング中に発見されたものです。
SunRPCインスペクションに関するDoS脆弱性およびILSインスペクションに関するDoS脆弱性は、シスコの社内テストによって発見されたものです。
URL
改訂履歴
| リビジョン 1.1 | 2012年7月14日 | 該当製品のメタタグをアップデート。 |
| リビジョン 1.0 | 2011年10月5日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。