日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco VPN 3000シリーズコンセントレータに影響を与えるMassachusetts Institute of Technology(MIT)のKerberos 5実装における2つの脆弱性が、MIT Kerberosチームによって発表されています。
Kerberos Key Distribution Center(KDC)に対してユーザを認証するCisco VPN 3000シリーズコンセントレータは、リモートコード実行およびサービス拒否(DoS)攻撃に対して脆弱な場合があります。シスコでは、これらの問題に対処するために無償ソフトウェアを提供しています。
Kerberos Key Distribution Center(KDC)に対してユーザを認証しないCisco VPN 3000シリーズコンセントレータは影響を受けません。
これらの脆弱性の不正利用は報告されていません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040831-krb5で確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次の製品にはMIT Kerberosコードに基づくKerberos 5実装が組み込まれており、これらの脆弱性の影響を受けます。
-
Cisco VPN 3000 シリーズ コンセントレータ.4.0.5.Bより前のすべての4.0.xソフトウェアバージョンと4.1.5.Bより前のすべての4.1.xソフトウェアバージョンに脆弱性が存在します。4.0.xより前のバージョンはKerberos認証をサポートしていないため、脆弱性は存在しません。
脆弱性のある製品は、Kerberos KDCに対してユーザを認証するように設定されている場合にのみ影響を受けます。
脆弱性を含んでいないことが確認された製品
次の製品はKerberos 5をサポートしていますが、その実装はMIT Kerberosに基づいていないため、このアドバイザリで説明されている脆弱性の影響を受けません。
-
Cisco IOS®(Kerberosサポートはリリース11.2以降で利用可能)
-
Cisco CatOS
次の製品はKerberos 5をサポートしていないため、これらの脆弱性の影響を受けません。
-
Cisco PIX ファイアウォール
-
Cisco Catalyst 6500シリーズおよびCisco 7600シリーズルータ用Cisco Firewall Services Module(FWSM)
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Kerberosは、マサチューセッツ工科大学(MIT)で開発された秘密キーのネットワーク認証プロトコルであり、暗号化と認証にDES (Data Encryption Standard)暗号化アルゴリズムを使用します。Kerberosは、ネットワークリソースに対する要求を認証するために設計されました。Kerberosは、他の秘密キーシステムと同様、ユーザとサービスの安全な検証を実行する信頼できるサードパーティの概念に基づいています。Kerberosプロトコルでは、この信頼できるサードパーティは鍵発行局(KDC)と呼ばれます。
Kerberosの主な用途は、ユーザとユーザが使用するネットワークサービスが実際に誰で、何を主張しているのかを確認することです。これを実現するために、信頼できるKerberosサーバがユーザにチケットを発行します。これらのチケットは、有効期間が限られているため、ユーザのクレデンシャルキャッシュに保存され、標準のユーザ名とパスワードの認証メカニズムの代わりに使用できます。
Kerberosのクレデンシャル方式には、「単一ログオン」と呼ばれる概念が組み込まれています。 このプロセスでは、ユーザを1回認証する必要があり、そのユーザのクレデンシャルが受け入れられるすべての場所で、(別のパスワードを暗号化せずに)セキュアな認証が可能になります。
MITの実装に基づくバージョンのKerberosを使用してユーザを認証する脆弱なシスコデバイスは、2つの脆弱性の影響を受けます。1つ目の脆弱性は、特定のエラー状態で発生する可能性がある二重解放エラーで構成されており、リモート攻撃者が任意のコードを実行できる可能性があります。
2つ目の脆弱性は、Abstract Syntax Notation(ASN)1デコーダの無限ループで構成されています。このループは、無効なBasic Encoding Rules(BER)エンコーディングを使用するASN.1 SEQUENCEタイプの受信時に入力される可能性があります。この脆弱性は、攻撃者が正規のKerberos KDCまたはアプリケーションサーバになりすまして、クライアントプログラムを無限ループの中で停止させ、サービス妨害(DoS)状態を引き起こすことにより、不正利用される可能性があります。また、この脆弱性を不正利用して、KDCまたはアプリケーションサーバを無限ループの中でハングさせることもできます。
これらのMIT Kerberosの脆弱性に関する詳細は、http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-002-dblfree.txtおよびhttp://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txtで入手できます。これらのリンク先の情報はMITから提供されています。
Cisco VPN 3000シリーズコンセントレータに関する上記の2つの脆弱性は、Bug ID CSCef24692(登録ユーザ専用)およびCSCef24900(登録ユーザ専用)(登録ユーザ専用)に記載されています。
回避策
この脆弱性の影響を軽減する回避策はありません。該当ユーザは、該当ソフトウェアの修正済みバージョンにアップグレードする必要があります。
修正済みソフトウェア
このアドバイザリで説明されている脆弱性は、ソフトウェアバージョン4.0.5.B以降および4.1.5.B以降のCisco VPN 3000シリーズコンセントレータで修正されています。脆弱性が存在することが確認されたソフトウェアを現在実行している場合は、次に説明するように、修正済みソフトウェアを入手する必要があります。
推奨事項
不正利用事例と公式発表
Cisco PSIRTでは、このアドバイザリに記載されている脆弱性のエクスプロイト事例は確認していません。
これらの脆弱性は、MIT KerberosチームとCERT Coordination Centerが共同で報告したものです。
これらの脆弱性は、シスコが提供していない他の製品にも影響を与える可能性があります。CERT/CCは、これらの脆弱性がシスコ以外の他の製品に与える影響について、公開の調整を行っています。このCisco Security Advisoryは、CERT/CCと共同で公開されています。
これらの脆弱性に関するMIT Kerberos Team Advisoriesは、http://web.mit.edu/kerberos/www/advisories/ (MITKRB5-SA-2004-002およびMITKRB5-SA-2004-003)にあります。
これらの脆弱性に関するCERT/CCアドバイザリは、http://www.cert.org/advisories/で確認できます。
URL
改訂履歴
リビジョン 1.0 |
2004年8月31日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。