OpenSSHサーバの脆弱性

SSHサーバに対するOpenSSHの実装における新しい脆弱性が発表されました。

OpenSSH実装に基づいてSSHサーバを実行している該当ネットワークデバイスでは、同じデバイスに対してエクスプロイトスクリプトが繰り返し実行される場合、サービス拒否(DoS)攻撃に対して脆弱になる可能性があります。これらの脆弱性に対しては、影響を緩和するための回避策があります。

このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030917-openssh に掲載されています。

固定コードのバッファサイズまたはチャネル数は、割り当てが成功し、最初は割り当ての前に設定されていた割り当ての後にのみ正しく増加するようになりました。外部でトリガーされる可能性がある割り当てエラーが発生すると、クリーンアップ処理によってメモリの内容が誤って消去されます。その結果、メモリが破損し、最終的にそのメモリを使用するプロセスがクラッシュします。

Portable OpenSSHバージョン（OpenBSDバージョンではない）3.7p1および3.7.1p1には、新しいPAM認証コードに複数の脆弱性が含まれています。これらの脆弱性がシスコ製品に影響を与えることは確認されていません。

Cisco IOSのSSHサーバコードには、http://www.cisco.com/warp/public/707/ssh-packet-suite-vuln.shtmlで文書化されているその他の脆弱性があり、OpenSHHの脆弱性を不正利用するように記述されたコードによってトリガーされる可能性があります。

• Cisco Catalyst Switching Software(CatOS)：この脆弱性は、Bug ID CSCec33092(登録ユーザ専用)に記載されています。
  SSHが無効になっている場合、Catalystスイッチはこれらの脆弱性に対して脆弱ではありません。CatOS K9(crypto)リリース6.1は、SSH機能を組み込んだ最初のCatOSリリースです。
  スイッチでSSHが設定されているかどうかを確認するには、show crypto keyと入力します。RSAキーが表示された場合は、スイッチでSSHが設定され、有効になっています。暗号キーを削除するには、clear crypto key RSAと入力します。これにより、スイッチのSSHサーバが無効になります。
  
• Cisco Secure Intrusion Detection System(NetRanger)アプライアンス：この脆弱性は、Bug ID CSCec32508(登録ユーザ専用)およびCSCec37419(登録ユーザ専用)に記載されています
  
• Ciscoネットワーク解析モジュール(NAM)：この脆弱性は、Bug ID CSCec35975(登録ユーザ専用)に記載されています。
  K9暗号化パッチがインストールされているかどうかを確認するには、show patchコマンドを入力します。exsession on sshコマンドを使用してSSHアクセスが有効になっているかどうかを確認するには、show ipコマンドを入力します。「SSH:」で始まる行に「Enabled」と表示されている場合に脆弱性が存在します。
  
• CiscoWorks 1105 Hosting Solution Engine(HSE)：この脆弱性は、Bug ID CSCec34502(登録ユーザ専用)およびCSCec34522(登録ユーザ専用)に記載されています。
  
• CiscoWorks 1105 Wireless LAN Solution Engine(WLSE)：この脆弱性は、Bug ID CSCec33254(登録ユーザ専用)およびCSCec34521(登録ユーザ専用)に記載されています。
  
• Cisco Content Service CSS11000スイッチシリーズ：Cisco WebNS 5.x、6.x、および7.xが該当します。この脆弱性は、Bug ID CSCec35690(登録ユーザ専用)に記載されています。
  
• Cisco Application & Content Networking Software(ACNS)：すべてのバージョンが該当します。この脆弱性は、Bug ID CSCec32387(登録ユーザ専用)に記載されています。
  
• BTS 10200ソフトスイッチ：RLS 3.5.3より前のすべてのリリースが影響を受けます。新しいopensshパッケージが利用可能になりました。
  
• Cisco GSS 4480 Global Site Selector：すべてのバージョンが該当。この脆弱性は、Bug ID CSCec32245(登録ユーザ専用)に記載されています。
  
• Cisco SN 5428 ストレージ ルータ—
  脆弱性のあるバージョンは次のとおりです。
  - SN5428-2.5.1-K9
  - SN5428-3.2.1-K9
  - SN5428-3.2.2-K9
  - SN5428-3.3.1-K9
  - SN5428-3.3.2-K9
  - SN5428-2-3.3.1-K9
  - N5428-2-3.3.2-K9
  この脆弱性は、Bug ID CSCec32301(登録ユーザ専用)に記載されています。SN 5428の詳細については、http://www.cisco.com/en/US/products/hw/ps4159/ps2160/index.htmlを参照してください。
  
• Cisco PGW 2200ソフトスイッチ：PGW Restricted Software 1.0(1)で見つかったCSCOk9000暗号化パッケージを適用した次のPGW 2200コンポーネントに脆弱性が存在します。
  - MGCアプリケーションソフトウェアを実行するPGWホストプラットフォーム（オプションでMNM-PTアプリケーションソフトウェアを実行）
  - HSIアプリケーションソフトウェアを実行するHSIホストプラットフォーム
  - BAMSアプリケーションソフトウェアを実行するBAMSプラットフォーム
  - MNM-PTアプリケーションソフトウェアを実行する個別のノード管理プラットフォーム
  

Cisco PSIRTでは、該当するユーザに対し、修正済みソフトウェアバージョンのコードが利用可能になり次第、そのバージョンにアップグレードすることを推奨しています。

• CatOSベースのスイッチには、次の回避策を実装できます。
  - SSHのIP許可リストを適用して、ネットワーク管理ワークステーションからのみスイッチの管理インターフェイスにアクセスできるようにします。
  この方法については、http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_6_1/config/ip_perm.htmを参照してください。
  - Catalyst 6000シリーズスイッチで、コードベースにVLANアクセスコントロールリスト(ACL)(VACL)機能がある場合は、上記のIP許可リストによる回避策の代わりにVACLを使用できます。
  この方法については、http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.htmlを参照してください。
  – ベストプラクティスを実装して、ネットワーク内のすべてのスイッチのすべての管理インターフェイスを別のVLANに割り当て、VLAN間のスイッチングを行うルータに適切なACLを適用します。
  例については、を参照してください。 http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.html
  – 脆弱性のあるスイッチの前にあるルータ、スイッチ、ファイアウォールにACLを適用し、脆弱性のあるスイッチのSSH TCPポート22宛てのトラフィックがネットワーク管理ワークステーションからのみ許可されるようにします。
  例については、http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.htmlを参照してください。
  
• Ciscoネットワーク解析モジュール(NAM)でSSHアクセスをオフにするには、exsession off sshコマンドを入力します。
  
• 可能な限り、ネットワークデバイス上のSSHサーバへのアクセスを制限します。該当するプラットフォームで使用可能なACL/MACフィルタを使用して、信頼できるワークステーションからのみネットワークデバイスへのアクセスを許可します。
  

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

• Cisco Catalystスイッチングソフトウェア(CatOS):CatOSリリーススケジュール：
  - 2003年11月12日に予定されているCatalyst 4000/5000/6000シリーズスイッチの6.4(7)
  - 2003年9月30日に出荷予定のCatalyst 4000シリーズスイッチでは7.6(3a)
  - 2003年9月26日に出荷予定のCatalyst 6000シリーズスイッチでは7.6(3a)
  - 2003年10月13日に出荷予定のCatalyst 6000シリーズスイッチ向け8.1(3)
  - Catalyst 4000シリーズスイッチ用8.2(1)GLX（2003年9月25日出荷予定）
  - Catalyst 6000シリーズスイッチは2003年第4四半期に発売予定 – 8.2(1)
  ソフトウェアのアップグレードは、コンソールインターフェイスを介して実行できます。手順については、ソフトウェアリリースノートを参照してください。
  
• Cisco Secure Intrusion Detection System(NetRanger)アプライアンス：ソフトウェアバージョン4.1(2)は10月末を予定しています。ソフトウェアバージョン3.1(5)では、ソフトウェアバージョン3.1（リリース日は未定）に対する修正が適用されます。
  
• Cisco Network Analysis Modules(NAM):3.1イメージ用の更新されたk9暗号化パッチ（10月中旬に提供予定）に修正が適用されます。
  
• CiscoWorks 1105 Hosting Solution Engine(HSE):10月10日を予定しているソフトウェアバージョン1.7.2に修正が適用されます。
  
• CiscoWorks 1105 Wireless LAN Solution Engine(WLSE)：リリース日は未定。
  
• Cisco Content Service CSS11000スイッチシリーズ：ソフトウェアバージョン5.0.3.10s、6.10.1.8s、7.10.3.11sおよび7.20.1.10s（10月3日提供予定）に修正が適用されます。
  
• Cisco Application & Content Networking Software(ACNS)：ソフトウェアバージョン5.1および5.0.7に修正が適用されます。ソフトウェアバージョン5.0.7は9月30日にリリースされる予定です。
  
• BTS 10200 Softswitch：新しいopensshパッケージが使用可能になりました。詳細については、担当のシスコSEにお問い合わせください。
  
• Cisco GSS 4480 Global Site Selector:10月10日に提供予定のソフトウェアバージョン1.1(0)コードに修正が適用されます。
  
• Cisco SN 5428ストレージルータ：ソフトウェアバージョン3.4.1では、9月末を予定していますが、SN 5428およびSN 5428-2に対する修正が含まれています。
  
• Cisco PGW 2200ソフトスイッチ：ソフトウェアバージョン1.0(2)は11月末を予定しています。
  

現時点では、このアドバイザリに記載されている脆弱性の不正利用事例は確認されていません。

これらの脆弱性は、CERT/CC(http://www.cert.org/advisories/CA-2003-24.html)でも文書化されています。