日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Secure Access Control Server for Windows(ACS Windows)およびCisco Secure Access Control Server Solution Engine(ACS Solution Engine)は、ネットワークアクセスサーバ、Cisco PIX、ルータなどのネットワークデバイスに認証、許可、アカウンティング(AAA)サービスを提供します。このアドバイザリでは、ACS WindowsサーバとACS Solution Engineサーバのサービス拒否(DoS)と認証に関連する複数の脆弱性について説明します。
脆弱性は、次のCisco Bug IDに記載されています。
-
CSCeb60017(登録ユーザ専用)
-
CSCec66913(登録ユーザ専用)
-
CSCec90317(登録ユーザ専用)
-
CSCed81716(登録ユーザ専用)
-
CSCef05950(登録ユーザ専用)
このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040825-acs に掲載されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
脆弱性を含む製品は次のとおりです。
-
バージョン3.2(3)以前は、CSCef05950(登録ユーザ専用)およびCSCed81716(登録ユーザ専用)に対して脆弱です。
-
バージョン3.2(2)ビルド15には、CSCeb60017(登録ユーザ専用)に対する脆弱性があります。
-
バージョン3.2は、CSCec90317(登録ユーザ専用)およびCSCec66913(登録ユーザ専用)に対して脆弱です。
CSCed81716はACS Solution Engineにのみ適用されます。
ソフトウェアリビジョンを確認するために、ACSボックスへの認証に成功します。認証を実行すると、最初の画面に現在のACSバージョンがCiscoSecure ACSリリース3.2(3)ビルド11の形式で表示されます。
ACSのバージョンは003.002(003.011)と表示されることもあります。ここで、「011」はACSのグラフィカルユーザインターフェイス(GUI)で参照されるビルド番号です。
脆弱性を含んでいないことが確認された製品
Cisco Secure ACS for UNIXは、これらの脆弱性の影響を受けません。他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco Secure ACS製品は、一元化されたIDネットワーキングソリューションと、すべてのシスコデバイスおよびセキュリティ管理アプリケーションに対する簡素化されたユーザ管理エクスペリエンスを提供します。これらの製品は、割り当てられたポリシーの確実な適用に役立ちます。ネットワーク管理者は、ネットワークにログインできるユーザ、ネットワーク内のユーザ権限、セキュリティ監査と課金情報、およびコマンドレベルのアクセス制御を制御できます。
-
CSCeb60017(登録ユーザ専用)およびCSCec66913(登録ユーザ専用):Cisco Secure ACSには、CSAdminと呼ばれる、TCPポート2002で受信するWebベースの管理インターフェイスが用意されています。TCP接続があふれると、ACS WindowsとACS Solution Engineはポート2002宛ての新しいTCP接続に応答しなくなります。さらに、認証関連の要求を処理するACS上のサービスが不安定になり、応答が停止する可能性があり、ACSが認証関連の要求を処理する機能が妨げられます。これらのサービスを復元するには、デバイスをリブートする必要があります。
-
CSCec90317(登録ユーザ専用):Cisco Secure ACSがLight Extensible Authentication Protocol(LEAP)RADIUSプロキシ用に設定されている場合、LEAP認証要求をセカンダリRADIUSサーバに転送します。LEAP RADIUSプロキシが設定されたACSデバイスは、LEAP認証要求が処理されているときにクラッシュする可能性があります。デバイスを動作状態に戻すには、リブートが必要です。
-
CSCed81716(登録ユーザ専用):Cisco Secure ACSは外部データベースと通信し、外部データベースに対してユーザを認証できます。ACSがサポートする外部データベースの1つにNovell Directory Services(NDS)があります。NDSでの匿名バインドが許可されていて、ACS Solution EngineがNDSを外部データベースとして持つNDSユーザを、汎用LDAPではなく認証している場合、ユーザはそのNDSデータベースに対して空のパスワードを使用して認証できます。ただし、誤ったパスワードや誤ったユーザ名は正しく拒否されます。
-
CSCef05950(登録ユーザ専用):ユーザがTCPポート2002でACS GUIの認証に成功すると、ランダムな宛先ポートを使用して、ブラウザとACS管理Webサービスの間に個別のTCP接続が作成されます。攻撃者がユーザコンピュータのIPアドレスをスプーフィングし、このランダムポートでACS GUIにアクセスすると、認証をバイパスしてACS GUIに接続できる可能性があります。攻撃者がACSユーザと同じPATデバイスの背後にいて、このランダムポートでACS GUIにアクセスする場合も、ACSサーバへの認証がバイパスされる可能性があります。
回避策
このセクションでは、次の脆弱性の回避策について説明します。
-
ACS WindowsおよびACS Solution EngineでIPアドレスフィルタを設定して、これらの脆弱性の発現を制限します。ACSのGUIでAdministration Control > Access Policyの順に選択し、ACSをリモートで管理する必要があるマシンだけにアクセスを制限します。
-
ACSへのトラフィックをフィルタリングするルータ、スイッチ、およびファイアウォールにアクセスコントロールリスト(ACL)を適用し、ボックスをリモート管理する必要があるステーションからのトラフィックだけが許可されるようにします。CiscoルータにACLを適用する方法の例については、http://www.cisco.com/warp/public/707/tacl.htmlを参照してください。
-
ベストプラクティスとして、HTTPSを使用してCisco ACS GUIへのアクセスを制限します。HTTPSの代わりにHTTPを使用してCisco ACS GUIにアクセスする場合、CSCef05950(登録ユーザ専用)で説明されている問題が引き続き存在します。
Cisco ACSでアクセスポリシーを設定する方法については、/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a0080205a43.html#wp89030を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
DDTのバグID |
影響を受けるバージョン |
修正済みバージョン |
Platform |
---|---|---|---|
CSCeb60017(登録ユーザ専用) |
3.2(1), 3.2(2) |
003.002(002.020)以降、3.2(3)(Product Upgrade Tool) |
ACS WindowsおよびACS Solution Engine |
CSCec66913(登録ユーザ専用) |
3.2(1), 3.2(2) |
003.002(002.020)以降、3.2(3)(Product Upgrade Tool) |
ACS WindowsおよびACS Solution Engine |
CSCec90317(登録ユーザ専用) |
3.2(1) |
003.002(002.005)以降、3.2(2)(Product Upgrade Tool) |
ACS WindowsおよびACS Solution Engine |
CSCed81716(登録ユーザ専用) |
3.2(1), 3.2(2) |
003.002(003.011)以降、3.2(3)(Product Upgrade Tool) |
ACS Solution Engineのみ |
CSCef05950(登録ユーザ専用) |
3.0(x)、3.1(x)、3.2(x)、3.3(1) |
バージョン3.1(2)、3.2(3)、および3.3(1)では、この脆弱性に対処するパッチが提供されています。これらのパッチの適用場所の詳細については、下記の「サービス契約をご利用のお客様」セクションを参照してください。 バージョン3.0は影響を受けますが、修正はバージョン3.1以降に含まれる機能セットでのみ利用できます。サービス契約をご利用でないお客様は、Cisco Technical Assistance Center(TAC)にお問い合わせください。 |
ACS WindowsおよびACS Solution Engine |
アップグレード手順は次のとおりです。
-
ACS Windows 3.3:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp998991
-
ACS Windows 3.2:http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_installation_guide09186a0080184928.html#wp9472
-
ACS Solution Engine:http://www.cisco.com/en/US/products/sw/secursw/ps5338/products_user_guide_chapter09186a0080204d45.html#wp911224
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
URL
改訂履歴
リビジョン 1.3 |
2007年8月14日 |
固定リンク. |
リビジョン 1.2 |
2004年10月5日 |
「影響」セクションでDoS脆弱性の影響を明確化。「ソフトウェアバージョンと修正」セクションの表で、「影響を受けるバージョン」列と「修正されたバージョン」列に内容を追加。「ソフトウェアバージョンと修正」セクションのバージョン3.0(x)のステータスを明確化。 |
リビジョン 1.1 |
2004年8月25日 |
「修正済みソフトウェアの取得」セクションのURLを変更。 |
リビジョン 1.0 |
2004年8月25日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。