Critical
Critical
アドバイザリーID : cisco-sa-20141008-asa
初公開日 : 2014-10-08 16:00
最終更新日 : 2015-07-09 15:14
バージョン 3.0 : Interim
CVSSスコア :
9.0
回避策 :
No Workarounds available
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2015年7月8日更新:Cisco PSIRTでは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性(CVE-2014-3383)の影響を受けるCisco ASAデバイスを使用している一部のお客様の中断を認識しています。中断の原因となったトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコは、そのデバイスのプロバイダーと所有者を調査し、悪意なくトラフィックが送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、次の脆弱性の影響を受けます。
Cisco ASA SQL*NETインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA VPNのサービス拒否の脆弱性、Cisco ASA IKEv2のサービス拒否の脆弱性、Cisco ASA Health and Performance Monitorのサービス拒否の脆弱性、Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA SunRPCインスペクションエンジンのサービス拒否の脆弱性の不正利用サービスの脆弱性により、該当デバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCのコマンド入力検証の脆弱性、およびCisco ASAローカルパス包含の脆弱性が不正利用されると、該当システムが完全に侵害される可能性があります。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性が悪用されると、内部情報が漏洩したり、場合によっては該当システムのリロードが発生したりする可能性があります。
Cisco ASAクライアントレスSSL VPNポータルのカスタマイズの完全性の脆弱性が悪用されると、クライアントレスSSL VPNポータルが侵害され、クロスサイトスクリプティング(XSS)、クレデンシャルの盗難、ユーザの悪意のあるWebページへのリダイレクトなどの攻撃が発生する可能性があります。
Cisco ASA Smart Call Homeのデジタル証明書検証の脆弱性が悪用されると、デジタル証明書検証バイパスが発生し、攻撃者がデジタル証明書認証をバイパスして、リモートアクセスVPN経由でネットワーク内にアクセスしたり、Cisco Adaptive Security Device Management(ASDM)経由で該当システムに管理アクセスしたりできるようになる可能性があります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、次の脆弱性の影響を受けます。
- Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNのDoS脆弱性
- Cisco ASA IKEv2のDoS脆弱性
- Cisco ASA Health and Performance MonitorのDoS脆弱性
- Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
- Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
- Cisco ASA DNSインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
- Cisco ASA VNMCのコマンド入力検証の脆弱性
- Cisco ASAローカルパス包含の脆弱性
- Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
- Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
- Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASA SQL*NETインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA VPNのサービス拒否の脆弱性、Cisco ASA IKEv2のサービス拒否の脆弱性、Cisco ASA Health and Performance Monitorのサービス拒否の脆弱性、Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA SunRPCインスペクションエンジンのサービス拒否の脆弱性の不正利用サービスの脆弱性により、該当デバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCのコマンド入力検証の脆弱性、およびCisco ASAローカルパス包含の脆弱性が不正利用されると、該当システムが完全に侵害される可能性があります。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性が悪用されると、内部情報が漏洩したり、場合によっては該当システムのリロードが発生したりする可能性があります。
Cisco ASAクライアントレスSSL VPNポータルのカスタマイズの完全性の脆弱性が悪用されると、クライアントレスSSL VPNポータルが侵害され、クロスサイトスクリプティング(XSS)、クレデンシャルの盗難、ユーザの悪意のあるWebページへのリダイレクトなどの攻撃が発生する可能性があります。
Cisco ASA Smart Call Homeのデジタル証明書検証の脆弱性が悪用されると、デジタル証明書検証バイパスが発生し、攻撃者がデジタル証明書認証をバイパスして、リモートアクセスVPN経由でネットワーク内にアクセスしたり、Cisco Adaptive Security Device Management(ASDM)経由で該当システムに管理アクセスしたりできるようになる可能性があります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
該当製品
次の製品で実行されているCisco ASAソフトウェアは、複数の脆弱性の影響を受けます。
- Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュール
- Cisco ASA 1000V クラウド ファイアウォール
- Cisco 適応型セキュリティ仮想アプライアンス(ASAv)
脆弱性のある製品
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、SQL*Netインスペクションが有効な場合、この脆弱性の影響を受けます。
SQL*Netインスペクションが有効になっているかどうかを確認するには、show service-policy | include sqlnetコマンドを使用して、出力が返ることを確認します。次の例は、SQL*Netインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA VPNのDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv1およびIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN、IPSec VPNクライアントとIKEv2 AnyConnect VPNの両方を介したリモートアクセスVPN、およびL2TP over IPSec VPN接続が含まれます。クライアントレスSSL VPNまたはAnyConnect SSL VPNは、この脆弱性の影響を受けません。
Cisco ASAがIKEv1またはIKEv2 VPN接続を終了するように設定されているかどうかを確認するには、少なくとも1つのインターフェイスにクリプトマップを設定する必要があります。管理者は show running-config crypto map | include interface コマンドを使用して、コマンドの出力を確認する必要があります。次の例は、cmapという名前の暗号マップがoutsideインターフェイスに設定されていることを示しています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN IKEv2およびAnyConnect IKEv2 VPN接続が含まれます。IKEv2 VPNが有効になっているかどうかを確認するには、show running-config crypto ikev2 | include enableコマンドを使用して、出力が返ることを確認します。次の例は、インターフェイスoutsideでIKEv2 VPNが有効になっているCisco ASAを示しています。
Cisco ASA Health and Performance MonitorのDoS脆弱性
Cisco ASAソフトウェアは、ASDMのHealth and Performance Monitoring(HPM)が有効になっている場合、この脆弱性の影響を受けます。
HPMが有効になっているかどうかを確認するには、show running-config | include hpmコマンドを使用して、出力が返されることを確認します。次の例は、HPM機能が有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、GPRSトンネリングプロトコル(GTP)インスペクションが有効な場合、この脆弱性の影響を受けます。
GTPインスペクションが有効になっているかどうかを確認するには、show service-policy | include gtpコマンドを使用して、出力が返されることを確認します。次の例は、GTPインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
SunRPCインスペクションが有効になっている場合、Cisco ASAソフトウェアはこの脆弱性の影響を受けます。
SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpcコマンドを使用して、出力が返されることを確認します。次の例は、SunRPCインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、DNSインスペクションが有効な場合、この脆弱性の影響を受けます。
DNSインスペクションが有効になっているかどうかを確認するには、show service-policy | include dnsコマンドを使用して、出力が返ることを確認します。次の例は、DNSインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNを除くすべてのタイプのVPN接続を終了するようにシステムが設定されており、ハイアベイラビリティ(HA)モード(フェールオーバーモードとも呼ばれる)で設定されている場合、この脆弱性の影響を受けます。
管理者はshow running-config crypto map | include interfaceコマンドを使用して、システムにIKEv1またはIKEv2 IPSec VPNが設定されているかどうかを確認し、show running-config webvpn | include anyconnectコマンドを使用して、AnyConnect SSL VPNが設定されているかどうかを確認します。次の例は、IPSec VPNとAnyConnect SSL VPNの両方が設定されているCisco ASAを示しています。
Cisco ASA VNMCのコマンド入力検証の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAローカルパス包含の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNポータルが有効な場合、この脆弱性の影響を受けます。クライアントレスSSL VPNポータルが有効になっているかどうかを確認するには、show running-config webvpnコマンドを使用して、少なくとも1つのインターフェイスでwebvpnが有効になっていることを確認します。次の例は、クライアントレスSSL VPNポータルがoutsideインターフェイスで有効になっているCisco ASAを示しています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
Cisco ASAソフトウェアは、次の条件が満たされると、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する侵害のその他の指標
脆弱性のある設定を実行しているお客様は、ポータルカスタマイズが侵害されていないことを確認する必要があります。ポータルが侵害されていないことを確認するには、カスタマイズオブジェクトをエクスポートし、悪意のあるコードがオブジェクトに含まれていないことを手動で確認します。
新しいカスタムオブジェクトとデフォルトカスタマイズオブジェクト(DfltCustomization)を分析する必要があります。SSL VPNポータルカスタマイズオブジェクトをエクスポートするには、export webvpn customization <object name> <dest fname>コマンドを使用します。ここで、<object name>はエクスポートするSSL VPNポータルカスタマイズオブジェクトの名前で、<dest fname>はカスタマイズオブジェクトのコピーが含まれるファイルの名前です。
次の例は、デフォルトカスタマイズオブジェクトDfltCustomizationをCustomization_to_verifyというファイルにエクスポートする方法を示しています
システムに存在するすべてのカスタマイズオブジェクトについて、このプロセスを繰り返す必要があります。
Cisco ASAソフトウェアは、Smart Call Home(SCH)機能がシステムで設定されている場合、またはシステムで設定されている場合に、この脆弱性の影響を受けます。この機能を設定すると、_SmartCallHome_ServerCAというデジタル証明書トラストポイントがシステムに自動的にインストールされます。このトラストポイントがインストールされているかどうかを確認するには、show running-config crypto ca trustpoint _SmartCallHome_ServerCAコマンドを使用して出力が返ることを確認します。次の例は、このトラストポイントがインストールされているCisco ASAを示しています。
Cisco ASAソフトウェアは、SQL*Netインスペクションが有効な場合、この脆弱性の影響を受けます。
SQL*Netインスペクションが有効になっているかどうかを確認するには、show service-policy | include sqlnetコマンドを使用して、出力が返ることを確認します。次の例は、SQL*Netインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注: SQL*Netインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include sqlnet Inspect: sqlnet, packet 0, drop 0, reset-drop 0
Cisco ASA VPNのDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv1およびIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN、IPSec VPNクライアントとIKEv2 AnyConnect VPNの両方を介したリモートアクセスVPN、およびL2TP over IPSec VPN接続が含まれます。クライアントレスSSL VPNまたはAnyConnect SSL VPNは、この脆弱性の影響を受けません。
Cisco ASAがIKEv1またはIKEv2 VPN接続を終了するように設定されているかどうかを確認するには、少なくとも1つのインターフェイスにクリプトマップを設定する必要があります。管理者は show running-config crypto map | include interface コマンドを使用して、コマンドの出力を確認する必要があります。次の例は、cmapという名前の暗号マップがoutsideインターフェイスに設定されていることを示しています。
注:IKEv1またはIKEv2 VPNはデフォルトでは設定されていません。ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN IKEv2およびAnyConnect IKEv2 VPN接続が含まれます。IKEv2 VPNが有効になっているかどうかを確認するには、show running-config crypto ikev2 | include enableコマンドを使用して、出力が返ることを確認します。次の例は、インターフェイスoutsideでIKEv2 VPNが有効になっているCisco ASAを示しています。
IKEv2を有効にすることに加えて、Cisco ASAは、IKEv2が有効になっているインターフェイスにクリプトマップを設定する必要があります。これは、show running-config crypto map | include interfaceコマンドを使用して、出力が返されることを確認します。次の例は、cmapという名前の暗号マップがoutsideインターフェイスに設定されていることを示しています。ciscoasa# show running-config crypto ikev2 | include enable crypto ikev2 enable outside
注:IKEv2 VPNはデフォルトでは有効になっていません。ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside
Cisco ASA Health and Performance MonitorのDoS脆弱性
Cisco ASAソフトウェアは、ASDMのHealth and Performance Monitoring(HPM)が有効になっている場合、この脆弱性の影響を受けます。
HPMが有効になっているかどうかを確認するには、show running-config | include hpmコマンドを使用して、出力が返されることを確認します。次の例は、HPM機能が有効になっているCisco ASAソフトウェアを示しています。
注: HPMはデフォルトでは有効になっていません。ciscoasa# show running-config | include hpm ciscoasa# hpm topn enable
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、GPRSトンネリングプロトコル(GTP)インスペクションが有効な場合、この脆弱性の影響を受けます。
GTPインスペクションが有効になっているかどうかを確認するには、show service-policy | include gtpコマンドを使用して、出力が返されることを確認します。次の例は、GTPインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:GTPインスペクションはデフォルトでは有効になっていません。ciscoasa# show service-policy | include gtp Inspect: gtp, packet 0, drop 0, reset-drop 0
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
SunRPCインスペクションが有効になっている場合、Cisco ASAソフトウェアはこの脆弱性の影響を受けます。
SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpcコマンドを使用して、出力が返されることを確認します。次の例は、SunRPCインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:SunRPCインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include sunrpc Inspect: sunrpc, packet 0, drop 0, reset-drop 0
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、DNSインスペクションが有効な場合、この脆弱性の影響を受けます。
DNSインスペクションが有効になっているかどうかを確認するには、show service-policy | include dnsコマンドを使用して、出力が返ることを確認します。次の例は、DNSインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:DNSインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include dns Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNを除くすべてのタイプのVPN接続を終了するようにシステムが設定されており、ハイアベイラビリティ(HA)モード(フェールオーバーモードとも呼ばれる)で設定されている場合、この脆弱性の影響を受けます。
管理者はshow running-config crypto map | include interfaceコマンドを使用して、システムにIKEv1またはIKEv2 IPSec VPNが設定されているかどうかを確認し、show running-config webvpn | include anyconnectコマンドを使用して、AnyConnect SSL VPNが設定されているかどうかを確認します。次の例は、IPSec VPNとAnyConnect SSL VPNの両方が設定されているCisco ASAを示しています。
管理者は、show failoverコマンドを使用してフェールオーバーがONであることを確認することで、ハイアベイラビリティモードが設定されているかどうかを確認できます。次の例は、ハイアベイラビリティモードが有効になっているCisco ASAを示しています。ciscoasa# show running-config webvpn | include anyconnect enable anyconnect enable ciscoasa# show run crypto map | include interface crypto map outside_map interface outside
注:この脆弱性は、フェールオーバーキーを使用してフェールオーバートラフィックを保護しないHA構成にのみ影響します。HAとVPNはデフォルトでは有効になっていません。ciscoasa# show failover Failover On [...]
Cisco ASA VNMCのコマンド入力検証の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAローカルパス包含の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNポータルが有効な場合、この脆弱性の影響を受けます。クライアントレスSSL VPNポータルが有効になっているかどうかを確認するには、show running-config webvpnコマンドを使用して、少なくとも1つのインターフェイスでwebvpnが有効になっていることを確認します。次の例は、クライアントレスSSL VPNポータルがoutsideインターフェイスで有効になっているCisco ASAを示しています。
注:クライアントレスSSL VPNポータルは、デフォルトでは有効になっていません。ciscoasa# show running-config webvpn webvpn enable outside [...]
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
Cisco ASAソフトウェアは、次の条件が満たされると、この脆弱性の影響を受けます。
- クライアントレスSSL VPNポータル機能が有効になっている
- デフォルトのカスタマイズオブジェクト、またはクライアントレスSSL VPNポータル用に新規作成されたカスタマイズオブジェクトをASDMでプレビューする必要がある
カスタマイズオブジェクトのプレビューが実行されたかどうかを判断する方法はありません。カスタマイズオブジェクトをプレビューするには、次のメソッドを使用します。Asdmで、CLIENTLESS SSL VPN ACCESS -> PORTAL -> CUSTOMIZATION -> PREVIEWの順に移動します。ciscoasa# show running-config webvpn webvpn enable outside [...]
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する侵害のその他の指標
脆弱性のある設定を実行しているお客様は、ポータルカスタマイズが侵害されていないことを確認する必要があります。ポータルが侵害されていないことを確認するには、カスタマイズオブジェクトをエクスポートし、悪意のあるコードがオブジェクトに含まれていないことを手動で確認します。
新しいカスタムオブジェクトとデフォルトカスタマイズオブジェクト(DfltCustomization)を分析する必要があります。SSL VPNポータルカスタマイズオブジェクトをエクスポートするには、export webvpn customization <object name> <dest fname>コマンドを使用します。ここで、<object name>はエクスポートするSSL VPNポータルカスタマイズオブジェクトの名前で、<dest fname>はカスタマイズオブジェクトのコピーが含まれるファイルの名前です。
次の例は、デフォルトカスタマイズオブジェクトDfltCustomizationをCustomization_to_verifyというファイルにエクスポートする方法を示しています
Customization_to_verifyファイルはデバイスディスクに保存され、エクスポートしてさらに分析することができます。ciscoasa# export webvpn customization DfltCustomization Customization_to_verify
システムに存在するすべてのカスタマイズオブジェクトについて、このプロセスを繰り返す必要があります。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアは、Smart Call Home(SCH)機能がシステムで設定されている場合、またはシステムで設定されている場合に、この脆弱性の影響を受けます。この機能を設定すると、_SmartCallHome_ServerCAというデジタル証明書トラストポイントがシステムに自動的にインストールされます。このトラストポイントがインストールされているかどうかを確認するには、show running-config crypto ca trustpoint _SmartCallHome_ServerCAコマンドを使用して出力が返ることを確認します。次の例は、このトラストポイントがインストールされているCisco ASAを示しています。
注:このトラストポイントが存在すると、システムが脆弱になります。ただし、デジタル証明書検証サービスに依存する別の機能が設定されていない限り、この脆弱性は不正利用されません。これらの機能の例としては、VPNまたはASDM接続のデジタル証明書認証、TLSプロキシと電話プロキシがあります。SCHはデフォルトでは有効になっていません。ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA crypto ca trustpoint _SmartCallHome_ServerCA crl configure
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、Cisco ASA 5500シリーズ適応型セキュリティアプライアンス、Cisco ASA 5500-X次世代ファイアウォール、Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュール(ASASM)、Cisco ASA 1000Vクラウドファイアウォール、およびCisco適応型セキュリティ仮想アプライアンス(ASA)で使用されるオペレーティングシステムですv)Cisco ASAファミリは、ファイアウォール、侵入防御システム(IPS)、Anti-X、VPNなどのネットワークセキュリティサービスを提供します。
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
注:この脆弱性は、Cisco ASA SQL*Netインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)トラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum46027(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3382が割り当てられています。
Cisco ASA VPNのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのIKEコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、UDPパケットの不十分な検証に起因します。攻撃者は、巧妙に細工されたUDPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)トラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCul36176(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3383が割り当てられています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアのIKEv2コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum96401(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3384が割り当てられています。
Cisco ASA Health and Performance MonitorのDoS脆弱性
注:この脆弱性は、通過TCPトラフィックによってのみ不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum00556(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3385が割り当てられています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのGPRSトンネリングプロトコル(GTP)インスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、特定のシーケンスで送信されるGTPパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工されたGTPパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります
注:この脆弱性は、Cisco ASA GTPインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCum56399(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3386が割り当てられています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのSunRPCインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSunRPCパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたSunRPCパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性は、Cisco ASA SunRPCインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCun11074(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3387が割り当てられています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのDNSインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
注:この脆弱性は、Cisco ASA DNSインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuo68327(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3388が割り当てられています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアのVPNコードにおける脆弱性により、認証されたリモートの攻撃者が、フェールオーバーインターフェイスを介してスタンバイユニットに設定コマンドを送信できる可能性があります。その結果、攻撃者はアクティブフェールオーバーユニットとスタンバイフェールオーバーユニットの両方を完全に制御できる可能性があります。
この脆弱性は、確立されたVPNトンネルからのパケットに対する内部フィルタの不適切な実装に起因します。攻撃者は、巧妙に細工されたパケットをフェールオーバーインターフェイスのIPアドレス宛てに送信することで、この脆弱性を不正利用する可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuq28582(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3389が割り当てられています。
Cisco ASA VNMCのコマンド入力検証の脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアの仮想ネットワーク管理センター(VNMC)ポリシーコードにおける脆弱性により、認証されたローカルの攻撃者が、rootユーザの権限を使用して基盤となるLinuxオペレーティングシステムにアクセスできる可能性があります。
この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、影響を受けるシステムに管理者としてログインし、悪意のあるスクリプトをディスクにコピーしてスクリプトを実行することで、この脆弱性をエクスプロイトする可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。デフォルト設定では、この脆弱性を不正利用するためにAdministrationまたはprivilege 15 accessが必要です。
この脆弱性は、Cisco Bug ID CSCuq41510(登録ユーザ専用)およびCSCuq47574(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3390が割り当てられています。
Cisco ASAローカルパス包含の脆弱性
Cisco ASAソフトウェアの環境変数をエクスポートする機能の脆弱性により、認証されたローカルの攻撃者が悪意のあるライブラリを挿入し、システムを完全に制御できる可能性があります。
この脆弱性は、LD_LIBRARY_PATH環境の不適切な設定に起因します。攻撃者は、悪意のあるライブラリを該当システムの外部メモリにコピーし、システムのリロードをトリガーすることで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムに悪意のあるライブラリをロードさせ、基盤となるLinux OSにアクセスさせ、システムの完全な侵害を引き起こす可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性を不正利用するには、システムのリロードが必要です。デフォルト設定では、この脆弱性を不正利用するためにAdministrationまたはprivilege 15 accessが必要です。
この脆弱性は、Cisco Bug ID CSCtq52661(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3391が割り当てられています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
クライアントレスSSL VPNポータル機能の脆弱性により、認証されていないリモートの攻撃者がランダムなメモリの場所にアクセスできる可能性があります。この脆弱性により、攻撃者はメモリに保存された情報にアクセスできる可能性があり、場合によってはメモリのこの部分を破損する可能性があり、該当システムのリロードが発生する可能性があります。
この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、クライアントレスSSL VPNポータルへのアクセス中に渡されるパラメータにランダムな値を設定することで、この脆弱性を不正利用する可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCuq29136(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3392が割り当てられています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCup36829(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3393が割り当てられています。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアのSmart Call Home(SCH)機能の脆弱性により、デジタル証明書を使用する機能が該当システムに設定されている場合、認証されていないリモートの攻撃者がデジタル証明書の検証をバイパスできる可能性があります。
この脆弱性は、SCHが設定されると、VeriSign証明書を含むトラストポイントが自動的にインストールされることに起因します。攻撃者は、該当システムへの認証時にVeriSignによって署名された有効な証明書を提示することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は特定の機能で使用される場合、たとえばデジタル証明書認証をバイパスする可能性があります。デジタル証明書検証を使用するように設定できる機能の例としては、VPNおよびAdaptive Security Device Management(ASDM)認証、TLSプロキシ、電話プロキシなどがあります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCun10916(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3394が割り当てられています。
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
SQL*Netインスペクションエンジンコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSQL REDIRECTパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工された一連のREDIRECTパケットを送信することにより、この脆弱性を不正利用する可能性があります。注:この脆弱性は、Cisco ASA SQL*Netインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)トラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum46027(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3382が割り当てられています。
Cisco ASA VPNのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのIKEコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、UDPパケットの不十分な検証に起因します。攻撃者は、巧妙に細工されたUDPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)トラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCul36176(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3383が割り当てられています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアのIKEv2コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたIKEv2パケットの不適切な処理に起因します。攻撃者は、IKEv2トンネルの確立中に巧妙に細工されたパケットを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こし、DoS状態が発生する可能性があります
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum96401(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3384が割り当てられています。
Cisco ASA Health and Performance MonitorのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのHealth and Performance Monitoring(HPM)におけるASDM機能の脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、最終的にDenial of Service(DoS)状態を引き起こす可能性があります。
この脆弱性は、HPM機能の動作における競合状態に起因します。攻撃者は、影響を受けるデバイスを介して確立される大量のハーフオープン同時接続を送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、DoS状態を引き起こす可能性があります。注:この脆弱性は、通過TCPトラフィックによってのみ不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum00556(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3385が割り当てられています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのGPRSトンネリングプロトコル(GTP)インスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、特定のシーケンスで送信されるGTPパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工されたGTPパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります
注:この脆弱性は、Cisco ASA GTPインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCum56399(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3386が割り当てられています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのSunRPCインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSunRPCパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたSunRPCパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性は、Cisco ASA SunRPCインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCun11074(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3387が割り当てられています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのDNSインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたDNSパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたDNSパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性は、Cisco ASA DNSインスペクションエンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuo68327(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3388が割り当てられています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアのVPNコードにおける脆弱性により、認証されたリモートの攻撃者が、フェールオーバーインターフェイスを介してスタンバイユニットに設定コマンドを送信できる可能性があります。その結果、攻撃者はアクティブフェールオーバーユニットとスタンバイフェールオーバーユニットの両方を完全に制御できる可能性があります。
この脆弱性は、確立されたVPNトンネルからのパケットに対する内部フィルタの不適切な実装に起因します。攻撃者は、巧妙に細工されたパケットをフェールオーバーインターフェイスのIPアドレス宛てに送信することで、この脆弱性を不正利用する可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuq28582(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3389が割り当てられています。
Cisco ASA VNMCのコマンド入力検証の脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアの仮想ネットワーク管理センター(VNMC)ポリシーコードにおける脆弱性により、認証されたローカルの攻撃者が、rootユーザの権限を使用して基盤となるLinuxオペレーティングシステムにアクセスできる可能性があります。
この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、影響を受けるシステムに管理者としてログインし、悪意のあるスクリプトをディスクにコピーしてスクリプトを実行することで、この脆弱性をエクスプロイトする可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。デフォルト設定では、この脆弱性を不正利用するためにAdministrationまたはprivilege 15 accessが必要です。
この脆弱性は、Cisco Bug ID CSCuq41510(登録ユーザ専用)およびCSCuq47574(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3390が割り当てられています。
Cisco ASAローカルパス包含の脆弱性
Cisco ASAソフトウェアの環境変数をエクスポートする機能の脆弱性により、認証されたローカルの攻撃者が悪意のあるライブラリを挿入し、システムを完全に制御できる可能性があります。
この脆弱性は、LD_LIBRARY_PATH環境の不適切な設定に起因します。攻撃者は、悪意のあるライブラリを該当システムの外部メモリにコピーし、システムのリロードをトリガーすることで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムに悪意のあるライブラリをロードさせ、基盤となるLinux OSにアクセスさせ、システムの完全な侵害を引き起こす可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性を不正利用するには、システムのリロードが必要です。デフォルト設定では、この脆弱性を不正利用するためにAdministrationまたはprivilege 15 accessが必要です。
この脆弱性は、Cisco Bug ID CSCtq52661(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3391が割り当てられています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
クライアントレスSSL VPNポータル機能の脆弱性により、認証されていないリモートの攻撃者がランダムなメモリの場所にアクセスできる可能性があります。この脆弱性により、攻撃者はメモリに保存された情報にアクセスできる可能性があり、場合によってはメモリのこの部分を破損する可能性があり、該当システムのリロードが発生する可能性があります。
この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、クライアントレスSSL VPNポータルへのアクセス中に渡されるパラメータにランダムな値を設定することで、この脆弱性を不正利用する可能性があります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCuq29136(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3392が割り当てられています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
クライアントレスSSL VPNポータルカスタマイズフレームワークの脆弱性により、認証されていないリモートの攻撃者がクライアントレスSSL VPNポータルのコンテンツを変更し、クレデンシャルの盗用、クロスサイトスクリプティング(XSS)、および該当システムを使用するクライアントに対するその他の種類のWeb攻撃など、複数の攻撃の原因となる可能性があります。
この脆弱性は、クライアントレスSSL VPNポータルカスタマイズフレームワークにおける認証チェックの不適切な実装に起因します。攻撃者は、RAMFSキャッシュファイルシステムのカスタマイズオブジェクトの一部を変更することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はクライアントレスSSL VPN認証をバイパスし、ポータルコンテンツを変更できる可能性があります。注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードにおいて、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCup36829(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3393が割り当てられています。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアのSmart Call Home(SCH)機能の脆弱性により、デジタル証明書を使用する機能が該当システムに設定されている場合、認証されていないリモートの攻撃者がデジタル証明書の検証をバイパスできる可能性があります。
この脆弱性は、SCHが設定されると、VeriSign証明書を含むトラストポイントが自動的にインストールされることに起因します。攻撃者は、該当システムへの認証時にVeriSignによって署名された有効な証明書を提示することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は特定の機能で使用される場合、たとえばデジタル証明書認証をバイパスする可能性があります。デジタル証明書検証を使用するように設定できる機能の例としては、VPNおよびAdaptive Security Device Management(ASDM)認証、TLSプロキシ、電話プロキシなどがあります。
注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルおよびマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCun10916(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3394が割り当てられています。
回避策
次の脆弱性に対しては、影響を受ける機能を無効にする以外に回避策はありません。
- Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNのDoS脆弱性
- Cisco ASA IKEv2のDoS脆弱性
- Cisco ASA Health and Performance MonitorのDoS脆弱性
- Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
- Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
- Cisco ASA DNSインスペクションエンジンのDoS脆弱性
- Cisco ASA VNMCのコマンド入力検証の脆弱性
- Cisco ASAローカルパス包含の脆弱性
- Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性
- Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
- Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性については、フェールオーバーキーを設定することで、この問題を回避できます。フェールオーバーキーを設定するには、failover key <key>コマンドを使用します。次の例は、cisco-keyという名前のフェールオーバーキーを設定する方法を示しています。ciscoasa(config)# no crypto ca trustpoint _SmartCallHome_ServerCA
注:failover ipsecコマンドを使用しても、この問題は回避できません。ciscoasa(config)#failover key cisco-key
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、Cisco ASAソフトウェアのメジャーリリースごとに、このアドバイザリに記載された各脆弱性に対する最初の修正リリースを示します。表の最後の行は、各Cisco ASAメジャーリリースに対するこのアドバイザリに記載されているすべての脆弱性の修正を含むリリースバージョンに関する情報を示しています。これらのリリースバージョン以降のリリースにアップグレードする必要があります。
1Cisco ASA VPNのDoS脆弱性は、Cisco ASAソフトウェアリリース9.1(4.3)で発生しました
2Cisco ASA DNSインスペクションエンジンのDoS脆弱性は、Cisco ASAソフトウェアリリース9.0(4.8)および9.1(5.2)で発生しました。
3Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性の影響を受けるお客様は、「Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性に関する重要な注意事項」セクションを参照して、この脆弱性を緩和する方法を確認する必要があります。
注:Cisco ASAソフトウェアリリース9.3(1.1)は、2014年11月10日までに入手可能になります
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項
ソフトウェアリリースに関係なく、脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。修正済みバージョンのCisco ASAソフトウェアにアップグレードすると、この脆弱性がさらに悪用されるのを防止できますが、すでに侵害されシステムに存在するカスタマイズオブジェクトは変更されません。攻撃者がすでにカスタマイズオブジェクトを改ざんした場合、改ざんされたオブジェクトはアップグレード後も存続します。
カスタマイズオブジェクトが侵害されたかどうかを確認するには、このアドバイザリの「脆弱性のある製品」セクションの「Cisco ASAクライアントレスSSL VPNポータルのカスタマイズ完全性の脆弱性に対する侵害の追加のインジケータ」の指示に従ってください。
デフォルトカスタマイズオブジェクト(DfltCustomization)を復元するには、次のメソッドを使用できます。
import webvpn customizationコマンドを使用すると、非デフォルトのカスタマイズオブジェクトを手動で編集して確認した後で、それらを復元することもできます。ASDMを使用してCLIENTLESS SSL VPN ACCESS -> PORTAL -> CUSTOMIZATIONに移動すると、デフォルト以外のカスタマイズオブジェクトを削除できます。CUSTOMIZATIONパネルで、デフォルト以外のカスタマイズオブジェクトを選択し、Deleteをクリックします。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco ASA 5500-X Next Generation Firewallについては、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 5500シリーズ適応型セキュリティアプライアンス> <Cisco ASAモデル> >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、製品>シスコインターフェイスとモジュール> Ciscoサービスモジュール> Cisco Catalyst 6500シリーズ/7600シリーズASAサービスモジュール> Adaptive Security Appliance (ASA) Softwareの順に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco ASA 1000Vクラウドファイアウォールについては、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 1000Vクラウドファイアウォール>適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。
Cisco適応型セキュリティ仮想アプライアンス(ASAv)では、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco適応型セキュリティ仮想アプライアンス(ASAv) >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、Cisco ASAソフトウェアのメジャーリリースごとに、このアドバイザリに記載された各脆弱性に対する最初の修正リリースを示します。表の最後の行は、各Cisco ASAメジャーリリースに対するこのアドバイザリに記載されているすべての脆弱性の修正を含むリリースバージョンに関する情報を示しています。これらのリリースバージョン以降のリリースにアップグレードする必要があります。
| 7.2 |
8.2 |
8.3 |
8.4 |
8.5 |
8.6 |
8.7 |
9.0 |
9.1 |
9.2 |
9.3 | |
| CSCum46027:Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性 |
7.2(5.13) |
8.2(5.50) |
8.3(2.42) |
8.4(7.15) |
8.5(1.21) |
8.6(1.14) |
8.7(1.13) |
9.0(4.5) |
9.1(5.1) |
Not affected | Not affected |
| CSCul36176:Cisco ASA VPNのDoS脆弱性 |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
9.1(5.1)1 |
Not affected | Not affected |
| CSCum96401:Cisco ASA IKEv2のDoS脆弱性 | Not affected | Not affected | Not affected | 8.4(7.15) | Not affected | 8.6(1.14) | Not affected | 9.0(4.8) | 9.1(5.1) | Not affected | Not affected |
|
CSCum00556:Cisco ASA Health and Performance MonitorのDoS脆弱性 |
Not affected |
Not affected |
8.3(2.42) |
8.4(7.11) |
8.5(1.19) |
8.6(1.13) |
8.7(1.11) |
9.0(4.8) |
9.1(4.5) |
Not affected | Not affected |
| CSCum56399:Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性 |
Not affected |
8.2(5.51) |
Not affected |
8.4(7.15) |
Not affected |
Not affected |
8.7(1.13) |
9.0(4.8) |
9.1(5.1) |
Not affected | Not affected |
| CSCun11074:Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性 | 7.2(5.14) | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) | 8.5(1.21) | 8.6(1.14) | 8.7(1.13) |
9.0(4.5) | 9.1(5.3) | Not affected | Not affected |
| CSCuo68327:Cisco ASA DNSインスペクションエンジンのDoS脆弱性 | Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | 9.0(4.13)2 | 9.1(5.7)2 | 9.2(2) | Not affected |
|
CSCuq28582:Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性 |
7.2(5.15) | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) |
Not affected | 8.6(1.15) | Not affected |
9.0(4.24) | 9.1(5.12) | 9.2(2.6) | 9.3(1.1) |
|
CSCuq41510およびCSCuq47574:Cisco ASA VNMCのコマンド入力検証の脆弱性 |
Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | 8.7(1.14) | Not affected | Not affected | 9.2(2.8) | 9.3(1.1) |
| CSCtq52661:Cisco ASAローカルパス包含の脆弱性 | Not affected |
8.2(5.52) |
使用不可 – 8.4以降にアップグレードしてください。 | 8.4(3) | 利用不可 – 9.0以降にアップグレード | Not affected |
8.7(1.13) | Not affected |
Not affected |
Not affected | Not affected |
| CSCuq29136:Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性 | Not affected | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) | Not affected | 8.6(1.15) | Not affected | 9.0(4.24) | 9.1(5.12) | 9.2(2.8) | 9.3(1.1) |
| CSCup36829:Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性3 | Not affected | 8.2(5.51)3 | 8.3(2.42)3 | 8.4(7.23)3 |
Not affected | 8.6(1.14)3 |
Not affected | 9.0(4.24)3 | 9.1(5.12)3 | 9.2(2.4)3 |
Not affected |
| CSCun10916:Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性 | Not affected | 8.2(5.50) | Not affected | 8.4(7.15) | Not affected | 8.6(1.14) | 8.7(1.13) | 9.0(4.8) | 9.1(5.1) | Not affected |
Not affected |
| このセキュリティアドバイザリに記載されているすべての脆弱性を修正する推奨リリース |
7.2 (5.15) 以降 |
8.2 (5.52) 以降 | 使用不可 – 8.4以降にアップグレードしてください。 | 8.4 (7.23) 以降 |
利用不可 – 9.0以降にアップグレード |
8.6 (1.15) 以降 | 8.7 (1.14) 以降 | 9.0 (4.24) 以降 | 9.1 (5.12) 以降 | 9.2 (2.8) 以降 | 9.3 (1.1) 以降 |
1Cisco ASA VPNのDoS脆弱性は、Cisco ASAソフトウェアリリース9.1(4.3)で発生しました
2Cisco ASA DNSインスペクションエンジンのDoS脆弱性は、Cisco ASAソフトウェアリリース9.0(4.8)および9.1(5.2)で発生しました。
3Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性の影響を受けるお客様は、「Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性に関する重要な注意事項」セクションを参照して、この脆弱性を緩和する方法を確認する必要があります。
注:Cisco ASAソフトウェアリリース9.3(1.1)は、2014年11月10日までに入手可能になります
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項
ソフトウェアリリースに関係なく、脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。修正済みバージョンのCisco ASAソフトウェアにアップグレードすると、この脆弱性がさらに悪用されるのを防止できますが、すでに侵害されシステムに存在するカスタマイズオブジェクトは変更されません。攻撃者がすでにカスタマイズオブジェクトを改ざんした場合、改ざんされたオブジェクトはアップグレード後も存続します。
カスタマイズオブジェクトが侵害されたかどうかを確認するには、このアドバイザリの「脆弱性のある製品」セクションの「Cisco ASAクライアントレスSSL VPNポータルのカスタマイズ完全性の脆弱性に対する侵害の追加のインジケータ」の指示に従ってください。
デフォルトカスタマイズオブジェクト(DfltCustomization)を復元するには、次のメソッドを使用できます。
- 既定のテンプレートをファイルにエクスポートします。次の例は、デフォルトテンプレートをdefault_templateというファイルにエクスポートする方法を示しています
- デフォルトテンプレートをデフォルトカスタマイズオブジェクト(DfltCustomization)としてインポートします。
ciscoasa# export webvpn customization Template default_template
注:これは、デフォルトカスタマイズオブジェクト(DfltCustomization)に対して行われた変更よりも優先されます。デフォルトカスタマイズオブジェクト(DfltCustomization)をシステムから削除することはできません。ciscoasa# import webvpn customization DfltCustomization default_template
import webvpn customizationコマンドを使用すると、非デフォルトのカスタマイズオブジェクトを手動で編集して確認した後で、それらを復元することもできます。ASDMを使用してCLIENTLESS SSL VPN ACCESS -> PORTAL -> CUSTOMIZATIONに移動すると、デフォルト以外のカスタマイズオブジェクトを削除できます。CUSTOMIZATIONパネルで、デフォルト以外のカスタマイズオブジェクトを選択し、Deleteをクリックします。
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Cisco.comのSoftware Centerからダウンロードできます。http://www.cisco.com/cisco/software/navigator.htmlCisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco ASA 5500-X Next Generation Firewallについては、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 5500シリーズ適応型セキュリティアプライアンス> <Cisco ASAモデル> >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、製品>シスコインターフェイスとモジュール> Ciscoサービスモジュール> Cisco Catalyst 6500シリーズ/7600シリーズASAサービスモジュール> Adaptive Security Appliance (ASA) Softwareの順に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco ASA 1000Vクラウドファイアウォールについては、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 1000Vクラウドファイアウォール>適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。
Cisco適応型セキュリティ仮想アプライアンス(ASAv)では、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco適応型セキュリティ仮想アプライアンス(ASAv) >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCコマンド入力検証の脆弱性、およびCisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性は、Alec Stuart-Muirkによってシスコに報告されました。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCコマンド入力検証の脆弱性、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性、およびCisco ASAローカルパス包含の脆弱性の不正利用は、Ruxcon 2014セキュリティカンファレンスでAlec Stuart-Muirkによって実証されています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性は、SecurityMetricsのHyrum M氏によってシスコに報告されました。
Hyrum Mによるブログ投稿も、この脆弱性の不正利用を示す公開されています。
このアドバイザリに記載されているその他の脆弱性はすべて、社内テストまたはサポートケースの解決中に発見されています。
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている他の脆弱性に関する公式発表は確認しておりません。
Cisco PSIRTは、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性が悪用されたことを認識しています。
お客様には、このセキュリティアドバイザリの「ソフトウェアバージョンおよび修正」セクションの「Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性に関する重要な注意事項」を読み、この脆弱性の修正を含むバージョンにアップグレードすることをお勧めします
2015年7月8日更新:Cisco PSIRTでは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性(CVE-2014-3383)の影響を受けるCisco ASAデバイスを使用しているお客様の一部に中断が発生したことを認識しています。中断の原因となったトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコは、そのデバイスのプロバイダーと所有者を調査し、悪意なくトラフィックが送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco PSIRTでは、本アドバイザリに記載されている他の脆弱性の不正利用事例を確認していません。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCコマンド入力検証の脆弱性、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性、およびCisco ASAローカルパス包含の脆弱性の不正利用は、Ruxcon 2014セキュリティカンファレンスでAlec Stuart-Muirkによって実証されています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性は、SecurityMetricsのHyrum M氏によってシスコに報告されました。
Hyrum Mによるブログ投稿も、この脆弱性の不正利用を示す公開されています。
このアドバイザリに記載されているその他の脆弱性はすべて、社内テストまたはサポートケースの解決中に発見されています。
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている他の脆弱性に関する公式発表は確認しておりません。
Cisco PSIRTは、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性が悪用されたことを認識しています。
お客様には、このセキュリティアドバイザリの「ソフトウェアバージョンおよび修正」セクションの「Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性に関する重要な注意事項」を読み、この脆弱性の修正を含むバージョンにアップグレードすることをお勧めします
2015年7月8日更新:Cisco PSIRTでは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性(CVE-2014-3383)の影響を受けるCisco ASAデバイスを使用しているお客様の一部に中断が発生したことを認識しています。中断の原因となったトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコは、そのデバイスのプロバイダーと所有者を調査し、悪意なくトラフィックが送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco PSIRTでは、本アドバイザリに記載されている他の脆弱性の不正利用事例を確認していません。
URL
改訂履歴
| リビジョン 3.0 | 2015 年 7 月 9 日 | 7月8日の更新情報をサマリーセクションの上部に移動。 |
| リビジョン 3.0 | 2015年7月8日 | Cisco ASA VPNのDoS脆弱性に関する追加情報を得て、このアドバイザリの「概要」および「不正利用と公表」セクションをCSCul36176新。 |
| Revision 2.0 | 2015年2月11日 | このアドバイザリの「脆弱性が存在する製品」、「ソフトウェアバージョンおよび修正」、および「エクスプロイトおよび公表」の項に、Cisco ASAクライアントレスSSL VPNポータルカスタマイズ完全性の脆弱性(CSCup36829)に関する重要な情報を追加しました。 |
| リビジョン 1.2 | 2015年1月13日 | CSCtq52661の最初の修正済みリリースに関する情報を追加。 |
| リビジョン 1.1 | 2014年10月24日 | Cisco ASAソフトウェアバージョン9.3(1.1)の目標期日と「エクスプロイト事例と公式発表」セクションを更新。 |
| リビジョン 1.0 | 2014年10月8日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。