High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
- FWSM HTTPプロキシトレースバックの脆弱性
- IKEバージョン1のDoS脆弱性
これらの脆弱性のいずれかが悪用されると、該当するデバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。IKEの脆弱性に対しては回避策があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130410-fwsm
注:Cisco適応型セキュリティアプライアンス(ASA)は、上記の脆弱性の一部の影響を受ける可能性があります。Cisco ASAに影響を与える脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは次のリンクに掲載されています。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130410-asa
該当製品
脆弱性のある製品
FWSM HTTPプロキシトレースバックの脆弱性
Cisco FWSMは、auth-proxy機能が設定された該当バージョンのCisco FWSMソフトウェアを実行している場合、この脆弱性の影響を受けます。 認証プロキシ機能は、デフォルトでは有効になっていません。 デバイスに脆弱性のある設定があるかどうかを確認する方法については、「詳細」セクションを参照してください。IKEバージョン1のDoS脆弱性
Cisco FWSMは、IKEバージョン1が有効な場合にこの脆弱性の影響を受けます。 IKEはデフォルトでは有効になっていません。 デバイスに脆弱性のある設定があるかどうかを確認する方法については、「詳細」セクションを参照してください。
注:FWSM上のIKEは、リモート管理でのみサポートされており、リモートネットワークアクセスではサポートされていません。
脆弱性を含んでいないことが確認された製品
詳細
FWSM HTTPプロキシトレースバックの脆弱性
Cisco Firewall Services Module(FWSM)ソフトウェアのauth-proxy機能には、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性のある脆弱性が存在します。この脆弱性は、クライアントが認証プロキシ機能を介して要求を行う際に、URLが正しく処理されないことに起因します。 Cisco FWSMは、auth-proxy機能が設定された該当バージョンのCisco FWSMソフトウェアを実行している場合、この脆弱性の影響を受けます。 次のコマンドの1つ以上が設定に含まれている場合、認証プロキシ機能が有効になります。
aaa authentication {include | exclude} service interface_name inside_ip inside_mask [outside_ip outside_mask] {server_tag | LOCAL}
or
aaa authentication match acl_name interface_name {server_tag | LOCAL}
認証プロキシ機能は、デフォルトでは有効になっていません。 詳細な例については、Cisco FWSMコンフィギュレーションガイドを参照してください。http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/configuration/guide/fwaaa_f.html
この脆弱性は、Cisco Bug ID CSCtg02624(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1155が割り当てられています。
IKEバージョン1のDoS脆弱性
注:Cisco FWSMのIKEは、リモート管理でのみサポートされており、リモートネットワークアクセスではサポートされていません。
Cisco FWSMは、IKEバージョン1が有効な場合にこの脆弱性の影響を受けます。IKEバージョン1は、isakmp enable <interface name>コマンドが設定されている場合に有効になります
IKEはデフォルトでは有効になっていません。
この脆弱性は、Cisco Bug ID CSCud20267(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1149が割り当てられています。
回避策
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、FWSMのHTTPプロキシトレースバックの脆弱性を修正するための修正済みバージョンと推奨バージョンを示します。
| メジャー リリース |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
| 3.1 | 影響あり、3.2に移行してください。 |
3.2 への移行が必要 |
| 3.2 | 3.2(20.1) | 3.2(25) |
| 4.0 | 4.0(15.2) |
4.1 への移行が必要 |
| 4.1 | 4.1(5.1) | 4.1(12) |
次の表に、IKEバージョン1のDoS脆弱性を修正する修正済みバージョンと推奨バージョンを示します。
| メジャー リリース |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
| 3.1 | 影響あり、3.2に移行してください。 |
3.2 への移行が必要 |
| 3.2 | 3.2(24.1) | 3.2(25) |
| 4.0 | 影響あり、4.1に移行してください。 |
4.1 への移行が必要 |
| 4.1 | 4.1(11.1) |
4.1(12) |
ソフトウェアのダウンロード
Cisco FWSMソフトウェアは、Cisco.comのSoftware Center(http://www.cisco.com/cisco/software/navigator.html)からダウンロードできますCisco Catalyst 6500 Series Firewall Services Moduleについては、Products > Security > Firewalls > Firewall Integrated Switch/Router Services >Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Softwareの順に選択します。
推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
これらの脆弱性は、お客様の問題のトラブルシューティング中に発見されたものです。
URL
改訂履歴
| リビジョン 1.0 | 2013年4月10日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。