日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
SSHサーバに対するOpenSSHの実装における新しい脆弱性が発表されました。
OpenSSH実装に基づいてSSHサーバを実行している該当ネットワークデバイスでは、同じデバイスに対してエクスプロイトスクリプトが繰り返し実行される場合、サービス拒否(DoS)攻撃に対して脆弱になる可能性があります。これらの脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030917-openssh に掲載されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次の製品は、OpenSSHコードに基づくSSHサーバ実装を備えており、OpenSSHの脆弱性の影響を受けます。
-
Cisco Catalystスイッチングソフトウェア(CatOS)
シスコのさまざまなCatalystスイッチファミリで、CatOSベースのリリースまたはIOSベースのリリースが稼働しています。
IOSベースのリリースには脆弱性はありません。
6.x、7.x、および8.xリリース群のすべてのK9(暗号化)イメージは、これらの脆弱性の影響を受けます。CatOSリリース2.x、3.x、4.x、および5.xはSSHをサポートしていないため、脆弱性はありません。
脆弱性が存在するCisco Catalystスイッチは次のとおりです。
-Catalyst 6000 シリーズ
-Catalyst 5000 シリーズ
-Catalyst 4000 シリーズ
- Catalyst 2948G、2980G、2980G-A、4912G - Catalyst 4000シリーズのコードベースを使用
使用しているソフトウェアリビジョンを確認するには、コマンドラインプロンプトでshow versionコマンドを入力します。
-
Cisco Secure Intrusion Detection System(NetRanger)アプライアンス
次のデバイス(ソフトウェアバージョン3.0(1) ~ 4.1(1)が稼働)には脆弱性が存在します。
- IDS-42xxアプライアンス
- NM-CIDS
- WS-SVS-IDSM2
-
Cisco Catalyst 6000/6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco Network Analysis Modules(NAM)
K9暗号化パッチが適用され、SSHが有効になっている次のデバイスには脆弱性が存在します。
- WS-X6380-NAM(ソフトウェアバージョン2.1(2)または3.1(1a)を実行)
- WS-SVC-NAM-1。ソフトウェアバージョン2.2(1a)または3.1(1a)を実行。
- WS-SVC-NAM-2、ソフトウェアバージョン2.2(1a)または3.1(1a)を実行
-
CiscoWorks 1105 Hosting Solution Engine(HSE)
-
CiscoWorks 1105 Wireless LAN Solution Engine(WLSE)
-
CiscoコンテンツサービスCSS 11000スイッチシリーズ
-
Cisco Application & Content Networking Software(ACNS)
-
BTS 10200 Softswitch
-
Cisco GSS 4480 Global Site Selector
-
Cisco SN 5428 ストレージ ルータ
-
Cisco PGW 2200ソフトスイッチ(旧称Cisco VSC 3000およびCisco SC 2200)
シスコでは、SN5420ストレージルータ用のSSHコードをリリースしていません。
脆弱性を含んでいないことが確認された製品
SSHサーバを組み込んだ次の製品は、OpenSSHの脆弱性に対して脆弱性がないことが確認されています。
-
Cisco IOS(SSHバージョン1.5とSSHバージョン2.0の両方)
-
Cisco Secure Intrusion Detection System(IDS)Catalyst Module(IDSM):モデル番号WS-X6381-IDS
-
Cisco PIX ファイアウォール
-
Cisco Catalyst 6000 FireWallサービスモジュール(FWSM)
-
Cisco VPN 3000コンセントレータおよびCisco VPN 5000コンセントレータ
-
Cisco MDS 9000 Series Multilayer Switches
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
固定コードのバッファサイズまたはチャネル数は、割り当てが成功し、最初は割り当ての前に設定されていた割り当ての後にのみ正しく増加するようになりました。外部でトリガーされる可能性がある割り当てエラーが発生すると、クリーンアップ処理によってメモリの内容が誤って消去されます。その結果、メモリが破損し、最終的にそのメモリを使用するプロセスがクラッシュします。
Portable OpenSSHバージョン(OpenBSDバージョンではない)3.7p1および3.7.1p1には、新しいPAM認証コードに複数の脆弱性が含まれています。これらの脆弱性がシスコ製品に影響を与えることは確認されていません。
Cisco IOSのSSHサーバコードには、http://www.cisco.com/warp/public/707/ssh-packet-suite-vuln.shtmlで文書化されているその他の脆弱性があり、OpenSHHの脆弱性を不正利用するように記述されたコードによってトリガーされる可能性があります。
-
Cisco Catalyst Switching Software(CatOS):この脆弱性は、Bug ID CSCec33092(登録ユーザ専用)に記載されています。
SSHが無効になっている場合、Catalystスイッチはこれらの脆弱性に対して脆弱ではありません。CatOS K9(crypto)リリース6.1は、SSH機能を組み込んだ最初のCatOSリリースです。
スイッチでSSHが設定されているかどうかを確認するには、show crypto keyと入力します。RSAキーが表示された場合は、スイッチでSSHが設定され、有効になっています。暗号キーを削除するには、clear crypto key RSAと入力します。これにより、スイッチのSSHサーバが無効になります。
-
Cisco Secure Intrusion Detection System(NetRanger)アプライアンス:この脆弱性は、Bug ID CSCec32508(登録ユーザ専用)およびCSCec37419(登録ユーザ専用)に記載されています
-
Ciscoネットワーク解析モジュール(NAM):この脆弱性は、Bug ID CSCec35975(登録ユーザ専用)に記載されています。
K9暗号化パッチがインストールされているかどうかを確認するには、show patchコマンドを入力します。exsession on sshコマンドを使用してSSHアクセスが有効になっているかどうかを確認するには、show ipコマンドを入力します。「SSH:」で始まる行に「Enabled」と表示されている場合に脆弱性が存在します。
-
CiscoWorks 1105 Hosting Solution Engine(HSE):この脆弱性は、Bug ID CSCec34502(登録ユーザ専用)およびCSCec34522(登録ユーザ専用)に記載されています。
-
CiscoWorks 1105 Wireless LAN Solution Engine(WLSE):この脆弱性は、Bug ID CSCec33254(登録ユーザ専用)およびCSCec34521(登録ユーザ専用)に記載されています。
-
Cisco Content Service CSS11000スイッチシリーズ:Cisco WebNS 5.x、6.x、および7.xが該当します。この脆弱性は、Bug ID CSCec35690(登録ユーザ専用)に記載されています。
-
Cisco Application & Content Networking Software(ACNS):すべてのバージョンが該当します。この脆弱性は、Bug ID CSCec32387(登録ユーザ専用)に記載されています。
-
BTS 10200ソフトスイッチ:RLS 3.5.3より前のすべてのリリースが影響を受けます。新しいopensshパッケージが利用可能になりました。
-
Cisco GSS 4480 Global Site Selector:すべてのバージョンが該当。この脆弱性は、Bug ID CSCec32245(登録ユーザ専用)に記載されています。
-
Cisco SN 5428 ストレージ ルータ—
脆弱性のあるバージョンは次のとおりです。
- SN5428-2.5.1-K9
- SN5428-3.2.1-K9
- SN5428-3.2.2-K9
- SN5428-3.3.1-K9
- SN5428-3.3.2-K9
- SN5428-2-3.3.1-K9
- N5428-2-3.3.2-K9
この脆弱性は、Bug ID CSCec32301(登録ユーザ専用)に記載されています。SN 5428の詳細については、http://www.cisco.com/en/US/products/hw/ps4159/ps2160/index.htmlを参照してください。
-
Cisco PGW 2200ソフトスイッチ:PGW Restricted Software 1.0(1)で見つかったCSCOk9000暗号化パッケージを適用した次のPGW 2200コンポーネントに脆弱性が存在します。
- MGCアプリケーションソフトウェアを実行するPGWホストプラットフォーム(オプションでMNM-PTアプリケーションソフトウェアを実行)
- HSIアプリケーションソフトウェアを実行するHSIホストプラットフォーム
- BAMSアプリケーションソフトウェアを実行するBAMSプラットフォーム
- MNM-PTアプリケーションソフトウェアを実行する個別のノード管理プラットフォーム
回避策
Cisco PSIRTでは、該当するユーザに対し、修正済みソフトウェアバージョンのコードが利用可能になり次第、そのバージョンにアップグレードすることを推奨しています。
-
CatOSベースのスイッチには、次の回避策を実装できます。
- SSHのIP許可リストを適用して、ネットワーク管理ワークステーションからのみスイッチの管理インターフェイスにアクセスできるようにします。
この方法については、http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_6_1/config/ip_perm.htmを参照してください。
- Catalyst 6000シリーズスイッチで、コードベースにVLANアクセスコントロールリスト(ACL)(VACL)機能がある場合は、上記のIP許可リストによる回避策の代わりにVACLを使用できます。
この方法については、http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.htmlを参照してください。
– ベストプラクティスを実装して、ネットワーク内のすべてのスイッチのすべての管理インターフェイスを別のVLANに割り当て、VLAN間のスイッチングを行うルータに適切なACLを適用します。
例については、を参照してください。 http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.html
– 脆弱性のあるスイッチの前にあるルータ、スイッチ、ファイアウォールにACLを適用し、脆弱性のあるスイッチのSSH TCPポート22宛てのトラフィックがネットワーク管理ワークステーションからのみ許可されるようにします。
例については、http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/6.x/configuration/guide/acc_list.htmlを参照してください。
-
Ciscoネットワーク解析モジュール(NAM)でSSHアクセスをオフにするには、exsession off sshコマンドを入力します。
-
可能な限り、ネットワークデバイス上のSSHサーバへのアクセスを制限します。該当するプラットフォームで使用可能なACL/MACフィルタを使用して、信頼できるワークステーションからのみネットワークデバイスへのアクセスを許可します。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
-
Cisco Catalystスイッチングソフトウェア(CatOS):CatOSリリーススケジュール:
- 2003年11月12日に予定されているCatalyst 4000/5000/6000シリーズスイッチの6.4(7)
- 2003年9月30日に出荷予定のCatalyst 4000シリーズスイッチでは7.6(3a)
- 2003年9月26日に出荷予定のCatalyst 6000シリーズスイッチでは7.6(3a)
- 2003年10月13日に出荷予定のCatalyst 6000シリーズスイッチ向け8.1(3)
- Catalyst 4000シリーズスイッチ用8.2(1)GLX(2003年9月25日出荷予定)
- Catalyst 6000シリーズスイッチは2003年第4四半期に発売予定 – 8.2(1)
ソフトウェアのアップグレードは、コンソールインターフェイスを介して実行できます。手順については、ソフトウェアリリースノートを参照してください。
-
Cisco Secure Intrusion Detection System(NetRanger)アプライアンス:ソフトウェアバージョン4.1(2)は10月末を予定しています。ソフトウェアバージョン3.1(5)では、ソフトウェアバージョン3.1(リリース日は未定)に対する修正が適用されます。
-
Cisco Network Analysis Modules(NAM):3.1イメージ用の更新されたk9暗号化パッチ(10月中旬に提供予定)に修正が適用されます。
-
CiscoWorks 1105 Hosting Solution Engine(HSE):10月10日を予定しているソフトウェアバージョン1.7.2に修正が適用されます。
-
CiscoWorks 1105 Wireless LAN Solution Engine(WLSE):リリース日は未定。
-
Cisco Content Service CSS11000スイッチシリーズ:ソフトウェアバージョン5.0.3.10s、6.10.1.8s、7.10.3.11sおよび7.20.1.10s(10月3日提供予定)に修正が適用されます。
-
Cisco Application & Content Networking Software(ACNS):ソフトウェアバージョン5.1および5.0.7に修正が適用されます。ソフトウェアバージョン5.0.7は9月30日にリリースされる予定です。
-
BTS 10200 Softswitch:新しいopensshパッケージが使用可能になりました。詳細については、担当のシスコSEにお問い合わせください。
-
Cisco GSS 4480 Global Site Selector:10月10日に提供予定のソフトウェアバージョン1.1(0)コードに修正が適用されます。
-
Cisco SN 5428ストレージルータ:ソフトウェアバージョン3.4.1では、9月末を予定していますが、SN 5428およびSN 5428-2に対する修正が含まれています。
-
Cisco PGW 2200ソフトスイッチ:ソフトウェアバージョン1.0(2)は11月末を予定しています。
推奨事項
不正利用事例と公式発表
現時点では、このアドバイザリに記載されている脆弱性の不正利用事例は確認されていません。
これらの脆弱性は、CERT/CC(http://www.cert.org/advisories/CA-2003-24.html)でも文書化されています。
URL
改訂履歴
Revision 1.6 |
2003年11月7日 |
脆弱性のある製品としてCisco PGW 2200ソフトスイッチを追加。CatOSの修正済みリリースとして8.1(3)を追加。 |
Revision 1.5 |
2003年9月27日 |
「Portable OpenSSH version」に「脆弱性なし」を追加。脆弱性のあるACNSおよびBTS10200を追加。CSS11000の該当リリースとして5.xを追加。NAMの修正情報を更新。 |
リビジョン 1.4 |
2003年9月23日 |
「ソフトウェアバージョンと修正」にCatOSリリーススケジュールを追加。 |
リビジョン 1.3 |
2003年9月19日 |
影響を受けるCisco Content Service CSS11000 Switch(CSS)シリーズとCisco Network Analysis Modules(NAM)を追加。 |
リビジョン 1.2 |
2003年9月18日 |
「回避策」セクションにCatOSに対する回避策を追加。 |
リビジョン 1.1 |
2003年9月18日 |
「該当製品」セクションにCatOSバージョン、Cisco Secure Intrusion Detection System(NetRanger)アプライアンス、およびCisco GSS 4480 Global Site Selectorを追加し、「脆弱性が存在しない製品」リストにCisco Secure Intrusion Detection System Catalyst Module(IDSM)を追加しました。「詳細」セクションにCisco Secure Intrusion Detection System(NetRanger)アプライアンスとCisco GSS 4480 Global Site Selectorを追加し、製品のバグIDを追加。「ソフトウェアバージョンと修正」セクションにCisco Secure Intrusion Detection System(NetRanger)アプライアンスを追加し、製品の今後の修正を追加。 |
リビジョン 1.0 |
2003年9月17日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。