High
High
アドバイザリーID : cisco-sa-20141015-vcs
初公開日 : 2014-10-15 16:00
バージョン 1.0 : Final
CVSSスコア :
7.8
回避策 :
No Workarounds available
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco TelePresence Video Communication Server(VCS)およびCisco Expresswayソフトウェアには、次の脆弱性が含まれています。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性を軽減する回避策はありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-vcs
注:このセキュリティアドバイザリでは、GNU Bash環境変数コマンドインジェクションの脆弱性(Shellshockとも呼ばれる)に関する情報は提供していません。この脆弱性の影響を受けるシスコ製品の詳細については、次のリンクのCisco Security Advisoryを参照してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
- Cisco TelePresence VCSおよびCisco Expresswayにおける巧妙に細工されたパケットによるDoS脆弱性
- Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタにおけるDoS脆弱性
- Cisco TelePresence VCSおよびCisco ExpresswayのSIPにおけるDoS脆弱性
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性を軽減する回避策はありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-vcs
注:このセキュリティアドバイザリでは、GNU Bash環境変数コマンドインジェクションの脆弱性(Shellshockとも呼ばれる)に関する情報は提供していません。この脆弱性の影響を受けるシスコ製品の詳細については、次のリンクのCisco Security Advisoryを参照してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
該当製品
脆弱性のある製品
これらの脆弱性は、該当バージョンのソフトウェアを実行している次の製品に適用されます。
Cisco TelePresence VCSおよびCisco Expresswayの巧妙に細工されたパケットによるDoS脆弱性と、Cisco TelePresence VCSおよびCisco Expressway SIPのDoS脆弱性は、デフォルト設定のCisco TelePresence VCSまたはCisco Expresswayに影響を与えます。
Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタに関するDoS脆弱性は、Cisco TelePresence VCSまたはCisco Expressway(IXフィルタが設定されている場合)に影響を与えます。IXフィルタが設定されているかどうかを判断するには、xconfig zone zoneコマンドを使用して、xConfiguration Zones Zone 2 Neighbor SIP UDP IX Filter ModeパラメータがOnに設定されていることを確認します。次の例は、IXフィルタが有効になっているCisco TelePresence VCSまたはCisco Expresswayを示しています。
- Cisco TelePresence VCS Control
- Cisco TelePresence VCS Expressway
- Cisco TelePresence VCS Starter Pack Expressway
- Cisco Expressway Core
- Cisco Expressway Edge
Cisco TelePresence VCSおよびCisco Expresswayの巧妙に細工されたパケットによるDoS脆弱性と、Cisco TelePresence VCSおよびCisco Expressway SIPのDoS脆弱性は、デフォルト設定のCisco TelePresence VCSまたはCisco Expresswayに影響を与えます。
Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタに関するDoS脆弱性は、Cisco TelePresence VCSまたはCisco Expressway(IXフィルタが設定されている場合)に影響を与えます。IXフィルタが設定されているかどうかを判断するには、xconfig zone zoneコマンドを使用して、xConfiguration Zones Zone 2 Neighbor SIP UDP IX Filter ModeパラメータがOnに設定されていることを確認します。次の例は、IXフィルタが有効になっているCisco TelePresence VCSまたはCisco Expresswayを示しています。
[...]
*c xConfiguration Zones Zone 2 Neighbor SIP SearchAutoResponse: "Off"
*c xConfiguration Zones Zone 2 Neighbor SIP TLS Verify Mode: "Off"
*c xConfiguration Zones Zone 2 Neighbor SIP Transport: "TCP"
*c xConfiguration Zones Zone 2 Neighbor SIP UDP BFCP Filter Mode: "Off"
*c xConfiguration Zones Zone 2 Neighbor SIP UDP IX Filter Mode: "On"
*c xConfiguration Zones Zone 2 Neighbor SIP UPDATE Strip Mode: "Off"
*c xConfiguration Zones Zone 2 Neighbor SignalingRouting Mode: "Auto"
*c xConfiguration Zones Zone 2 Neighbor ZoneProfile: "CiscoUnifiedCommunicationsManagerBFCP"
[...]
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco TelePresence VCSは、Any-to-Anyのビデオおよびテレプレゼンスコミュニケーションをサポートすることで、フェイスツーフェイスのビデオコラボレーションの利点をネットワークや組織に拡大します。 Cisco Expresswayは、Cisco Unified Communications Manager、Cisco Business Edition、またはCisco Hosted Collaboration Solutionを通じて提供される包括的なコラボレーションサービス専用に設計されています。確立されたファイアウォール越えテクノロジーを特徴とし、従来のエンタープライズコラボレーションの境界を再定義します。
Cisco TelePresence VCSおよびCisco Expresswayにおける巧妙に細工されたパケットによるDoS脆弱性
パケット処理機能の脆弱性により、認証されていないリモートの攻撃者がカーネルのクラッシュと該当システムのリロードを引き起こす可能性があります。
この脆弱性は、システムで処理される際に巧妙に細工されたパケットが十分にサニタイズされないことに起因します。攻撃者は、巧妙に細工されたIPパケットを該当システムに大量に送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCui06507(登録ユーザ専用)として文書化され、Common Vulnerability and Exposures(CVE)ID CVE-2014-3368が割り当てられています。
Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタにおけるDoS脆弱性
Session Initiation Protocol(SIP)IXチャネル機能コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、Cisco Bug ID CSCuo42252(登録ユーザ専用)として文書化され、CVE ID CVE-2014-3369が割り当てられています。
Cisco TelePresence VCSおよびCisco ExpresswayのSIPにおけるDoS脆弱性
Session Initiation Protocol(SIP)モジュールの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSIPパケットの不適切な処理に起因します。攻撃者は、巧妙に細工されたSIPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります
この脆弱性は、Cisco Bug ID CSCum60447(登録ユーザ専用)およびCSCum60442(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3370が割り当てられています。
Cisco TelePresence VCSおよびCisco Expresswayにおける巧妙に細工されたパケットによるDoS脆弱性
パケット処理機能の脆弱性により、認証されていないリモートの攻撃者がカーネルのクラッシュと該当システムのリロードを引き起こす可能性があります。
この脆弱性は、システムで処理される際に巧妙に細工されたパケットが十分にサニタイズされないことに起因します。攻撃者は、巧妙に細工されたIPパケットを該当システムに大量に送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCui06507(登録ユーザ専用)として文書化され、Common Vulnerability and Exposures(CVE)ID CVE-2014-3368が割り当てられています。
Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタにおけるDoS脆弱性
Session Initiation Protocol(SIP)IXチャネル機能コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、IXフィルタが設定されている場合の、巧妙に細工されたSession Description Protocol(SDP)パケットの不適切な処理に起因します。攻撃者は、巧妙に細工されたSDPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCuo42252(登録ユーザ専用)として文書化され、CVE ID CVE-2014-3369が割り当てられています。
Cisco TelePresence VCSおよびCisco ExpresswayのSIPにおけるDoS脆弱性
Session Initiation Protocol(SIP)モジュールの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSIPパケットの不適切な処理に起因します。攻撃者は、巧妙に細工されたSIPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります
この脆弱性は、Cisco Bug ID CSCum60447(登録ユーザ専用)およびCSCum60442(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3370が割り当てられています。
回避策
これらの脆弱性に対する回避策はありません。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、Cisco TelePresence VCSとCisco Expresswayソフトウェアの両方の脆弱性に対する最初の修正リリースを示します。「Recommended Release」行には、このセキュリティアドバイザリに記載されているすべての脆弱性を解決する推奨リリースに関する情報が記載されています。
| First Fixed Release(修正された最初のリリース) |
|
| Cisco TelePresence VCSおよびCisco Expresswayにおける巧妙に細工されたパケットによるDoS脆弱性 |
X8.2以降 |
| Cisco TelePresence VCSおよびCisco ExpresswayのSIP IXフィルタにおけるDoS脆弱性 |
X8.1.1以降 |
| Cisco TelePresence VCSおよびCisco ExpresswayのSIPにおけるDoS脆弱性 |
X8.1.1以降 |
| 推奨リリース |
X8.2以降 |
注:このセキュリティアドバイザリでは、GNU Bash環境変数コマンドインジェクションの脆弱性(Shellshockとも呼ばれる)に関する情報は提供していません。Cisco TelePresence VCSまたはCisco Expresswayソフトウェアバージョンを決定する前に、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bashでCisco Security Advisoryを参照してください。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
これらの脆弱性は、シスコの社内テストで発見されたものです。
URL
改訂履歴
| リビジョン 1.0 | 2014年10月15日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。