High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
IOS HTTPサーバには脆弱性があり、show buffersコマンドからの出力など、動的に生成された出力に挿入されたHTMLコードが、ページを要求するブラウザに渡されます。このHTMLコードはクライアントブラウザによって解釈され、デバイスに対して悪意のあるコマンドを実行したり、他のクロスサイトスクリプティング攻撃を受ける可能性があります。この脆弱性の不正利用に成功するには、HTMLコマンドが挿入された動的コンテンツを含むページをユーザが閲覧する必要があります。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供する予定です。この脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051201-http で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
このセキュリティアドバイザリは、Cisco IOSソフトウェアバージョン11.0 ~ 12.4を実行し、HTTPサーバが有効になっているすべてのシスコ製品に適用されます。IOS HTTPサーバまたはHTTPセキュアサーバが含まれていても、有効になっていないシステムは影響を受けません。
HTTPサーバがデバイスで実行されているかどうかを確認するには、プロンプトでshow ip http server statusコマンドとshow ip http server secure statusコマンドを発行して、次のような出力を探します。
Router>show ip http server status HTTP server status: Enabled
デバイスがHTTPサーバを実行していない場合は、次のような出力が表示されます。
Router>show ip http server status HTTP server status: Disabled
下記の「修正済みソフトウェア」セクションに記載されるCisco IOSより前のバージョンには、脆弱性が存在する可能性があります。
脆弱性を含んでいないことが確認された製品
Cisco IOS XR は該当しません。
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.3(6)が稼働し、インストールされているイメージ名がC3640-I-Mであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-I-M), Version 12.3(6), RELEASE SOFTWARE (fc3)
次の例は、IOSリリース12.3(11)T3を実行し、イメージ名がC3845-ADVIPSERVICESK9-Mの製品を示しています。
Cisco IOS Software, 3800 Software (C3845-ADVIPSERVICESK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc.
Cisco IOSリリースの命名の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco IOS Webブラウザインターフェイス(デバイスをHTTPサーバとして実行できるようにする)を使用すると、任意のWebブラウザを使用してルータまたはアクセスサーバを設定および監視できます。この機能はIOS 11.0で導入されました。
IOS HTTPサーバには脆弱性があり、show buffersコマンドからの出力など、動的に生成された出力に挿入されたHTMLコードが、ページを要求するブラウザに渡されます。このHTMLコードはブラウザによって解釈され、デバイスに対して悪意のあるコマンドを実行したり、他のクロスサイトスクリプティング攻撃を受ける可能性があります。
クロスサイトスクリプティング攻撃に対して脆弱であるためには、ユーザは注入されたコードがメモリ内に存在するのと同じ期間にコンテンツを参照して表示する必要があります。一方、ユーザがデバイス上の汚染された動的コンテンツを閲覧しない場合、不正利用は不可能です。
この脆弱性にはプルーフオブコンセプトエクスプロイトが存在し、エクスプロイトによってデバイスのイネーブルパスワードのリセットが試行されます。デバイス自体に対する攻撃の場合、ルータ上で汚染された動的コンテンツを閲覧するユーザは、認証されデバイス上で許可されている特権レベル以下のコマンドしか実行できません。
この脆弱性は、Cisco Bug ID CSCsc64976(登録ユーザ専用)に記載されています。
回避策
HTTPサーバがデバイスで正当な目的に使用されていない場合は、コンフィギュレーションモードで次のコマンドを発行して無効にすることをお勧めします。
no ip http server no ip http secure-server
HTTP WEB_EXECサービスの無効化
12.3(14)T以降で導入された機能では、選択的なHTTPおよびHTTPSサービスを有効または無効にできます。WEB_EXECサービスは、ボックスを設定し、リモートクライアントからボックスの現在の状態を取得する機能を提供します。
他のHTTPサービスをアクティブなままにしたまま、WEB_EXECサービスを無効にすることができます。インストールでWEB_EXECサービスを使用する必要がない場合は、次の手順を使用して無効にすることができます。
-
すべてのセッションモジュールのリストを確認します。
Router#show ip http server session-module HTTP server application session modules: Session module Name Handle Status Secure-status Description HTTP_IFS 1 Active Active HTTP based IOS File Server HOME_PAGE 2 Active Active IOS Homepage Server QDM 3 Active Active QOS Device Manager Server QDM_SA 4 Active Active QOS Device Manager Signed Applet Server WEB_EXEC 5 Active Active HTTP based IOS EXEC Server IXI 6 Active Active IOS XML Infra Application Server IDCONF 7 Active Active IDCONF HTTP(S) Server XSM 8 Active Active XML Session Manager VDM 9 Active Active VPN Device Manager Server XML_Api 10 Active Active XML Api ITS 11 Active Active IOS Telephony Service ITS_LOCDIR 12 Active Active ITS Local Directory Search CME_SERVICE_URL 13 Active Active CME Service URL CME_AUTH_SRV_LOGIN 14 Active Active CME Authentication Server IPS_SDEE 15 Active Active IOS IPS SDEE Server tti-petitioner 16 Active Active TTI Petitioner
-
必要なセッションモジュールのリストを作成します。この例では、WEB_EXEC以外のすべてが対象になります。
Router#configuration terminal Router(config)#ip http session-module-list exclude_webexec HTTP_IFS,HOME_PAGE,QDM,QDM_SA,IXI,IDCONF,XSM,VDM,XML_Api, ITS,ITS_LOCDIR,CME_SERVICE_URL,CME_AUTH_SRV_LOGIN,IPS_SDEE,tti-petitioner
-
リモートクライアントからの着信HTTP要求に対応するHTTP/HTTPSアプリケーションを選択的に有効にします。
Router(config)#ip http active-session-modules exclude_webexec Router(config)#ip http secure-active-session-modules exclude_webexec Router(config)#exit
-
すべてのセッションモジュールのリストを確認し、WEB_EXECがアクティブでないことを確認します。
Router#show ip http server session-module HTTP server application session modules: Session module Name Handle Status Secure-status Description HTTP_IFS 1 Active Active HTTP based IOS File Server HOME_PAGE 2 Active Active IOS Homepage Server QDM 3 Active Active QOS Device Manager Server QDM_SA 4 Active Active QOS Device Manager Signed Applet Server WEB_EXEC 5 Inactive Inactive HTTP based IOS EXEC Server IXI 6 Active Active IOS XML Infra Application Server IDCONF 7 Active Active IDCONF HTTP(S) Server XSM 8 Active Active XML Session Manager VDM 9 Active Active VPN Device Manager Server XML_Api 10 Active Active XML Api ITS 11 Active Active IOS Telephony Service ITS_LOCDIR 12 Active Active ITS Local Directory Search CME_SERVICE_URL 13 Active Active CME Service URL CME_AUTH_SRV_LOGIN 14 Active Active CME Authentication Server IPS_SDEE 15 Active Active IOS IPS SDEE Server tti-petitioner 16 Active Active TTI Petitioner
HTTPサーバまたはセキュアHTTPサーバを使用してアプリケーションを選択的にイネーブルにする方法の詳細については、次のURLにある『Cisco IOS Network Management Configuration Guide, release 12.4T』を参照してください。http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_http_app_enable.html
WebベースのSHOWコマンドは使用しないでください
この脆弱性の不正利用に成功するには、無防備なユーザが利用可能な「show」コマンドを使用してデバイスにダイナミックコンテンツを要求する必要があります。修正済みソフトウェアへのアップグレードが可能になるまでWebインターフェイスからこれらのコマンドを使用しないことは、一部のインストールでは完全に妥当な場合があります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。可能な場合は、利用可能な最新のリリースにアップグレードすることをお勧めします。
メジャー リリース |
修正済みリリースの入手可能性 |
---|---|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり(最初の修正は12.2DA) |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
12.0(33)S 12.0(32)S6 |
|
脆弱性あり(最初の修正は12.0S) |
|
脆弱性あり(最初の修正は12.0S) |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.0S) |
|
12.0(32)SY9a 12.0(32)SY3 |
|
12.0(30)SZ4 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
12.0(5)WC14 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性なし |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性なし |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり(最初の修正は12.2SE) |
|
脆弱性あり(最初の修正は12.1EA) |
|
脆弱性あり(最初の修正は12.1EA) |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり(最初の修正は12.2DA) |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
12.1(26)E8 12.1(27b)E1 |
|
12.1(22)EA7 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.3BC) |
|
12.1(19)EO6 |
|
脆弱性あり(最初の修正は12.2EWA) |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。最初の修正は12.2 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.1EA) |
|
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
12.2(27c) 12.2(29b) 12.2(28d) 12.2(26c) 12.2(34) |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり(最初の修正は12.2S) |
|
12.2(10)DA7 12.2(12)DA11 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり(最初の修正は12.2EWA) |
|
12.2(25)EWA8 12.2(25)EWA6 12.2(25)EWA11 |
|
12.2(35)EX |
|
12.2(37)EY |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性あり。12.2SEGの任意のリリースに移行 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり(最初の修正は12.2IXD) |
|
脆弱性あり(最初の修正は12.2IXD) |
|
脆弱性あり(最初の修正は12.2IXD) |
|
12.2(18)IXD1 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり(最初の修正は12.3JA) |
|
脆弱性あり(最初の修正は12.3JK) |
|
脆弱性あり。最初の修正は12.3 |
|
12.2(15)MC2h |
|
12.2(14)S18 12.2(18)S13 12.2(25)S11 12.2(20)S13 |
|
12.2(31)SB3x 12.2(28)SB2 12.2(31)SB2 |
|
脆弱性あり(最初の修正は12.2SB) |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
12.2(35)SE |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性あり。12.2SEEの任意のリリースに移行 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
12.2(25)SG2 12.2(31)SG1 12.2(31)SG |
|
12.2(31)SGA6 12.2(31)SGA 12.2(31)SGA3 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
12.2(29)SM2 |
|
12.2(18)SO7 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり(最初の修正は12.4) |
|
12.2(29)SV3 12.2(29b)SV 12.2(27)SV5 12.2(28)SV2 12.2(29a)SV1 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
12.2(25)SW11 |
|
脆弱性あり(最初の修正は12.2SXF) |
|
脆弱性あり(最初の修正は12.2SXF) |
|
脆弱性あり(最初の修正は12.2SXD) |
|
12.2(18)SXD7b |
|
12.2(18)SXE6b |
|
12.2(18)SXF15a 12.2(18)SXF5 12.2(18)SXF17a |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり(最初の修正は12.2S) |
|
脆弱性あり(最初の修正は12.2S) |
|
脆弱性あり。最初の修正は12.3 |
|
12.2(8)TPC10b |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり(最初の修正は12.3JA) |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.2SXD) |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。最初の修正は12.3 |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4) |
|
12.2(13)ZH9 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
12.2(18)ZU2 |
|
脆弱性あり(最初の修正は12.2SB) |
|
脆弱性なし |
|
12.2(18)ZYA |
|
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
12.3(17c) 12.3(18) |
|
脆弱性あり(最初の修正は12.4) |
|
12.3(21)BC 12.3(17b)BC5 |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
12.3(8)JA 12.3(7)JA3 12.3(2)JA6 12.3(4)JA2 |
|
12.3(8)JEA |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
12.3(8)JK 12.3(2)JK3 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性あり(最初の修正は12.4) |
|
12.3(4)TPC11b |
|
脆弱性あり(最初の修正は12.4T) |
|
12.3(2)XA6 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
12.3(2)XC5 |
|
脆弱性あり(最初の修正は12.4) |
|
12.3(2)XE5 |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
|
脆弱性あり(最初の修正は12.4) |
|
12.3(7)XI9 |
|
脆弱性あり(最初の修正は12.3YX) |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.4) |
|
12.3(7)XR7 |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.3YX) |
|
12.3(8)XX2d |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4) |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.3YX) |
|
12.3(8)YG6 |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.4T) |
|
12.3(11)YK3 |
|
12.3(14)YM10 |
|
脆弱性あり(最初の修正は12.4T) |
|
12.3(11)YS2 |
|
脆弱性あり(最初の修正は12.4T) |
|
脆弱性あり(最初の修正は12.4XB) |
|
12.3(14)YX8 |
|
12.3(11)YZ2 |
|
脆弱性あり(最初の修正は12.4T) |
|
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
12.4(7) 12.4(5c) 12.4(3g) |
|
脆弱性なし |
|
12.4(3g)JA |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
12.4(11)MD |
|
脆弱性なし |
|
12.4(6)MR |
|
脆弱性なし |
|
12.4(2)T6 12.4(6)T 12.4(4)T5 |
|
脆弱性あり(最初の修正は12.4T) |
|
12.4(2)XB6 |
|
12.4(4)XC6 |
|
12.4(4)XD4 |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
脆弱性なし |
|
影響を受ける 15.0 ベースのリリース |
First Fixed Release(修正された最初のリリース) |
影響を受ける 15.0 ベースのリリースはありません。 |
|
影響を受ける 15.1 ベースのリリース |
First Fixed Release(修正された最初のリリース) |
影響を受ける 15.1 ベースのリリースはありません。 |
推奨事項
不正利用事例と公式発表
この脆弱性は、Bugtraqメーリングリストへの公開投稿で公開されました。
この脆弱性を発見し、最初に報告していただいたiDefense社に感謝いたします。
また、この脆弱性に対する別のベクトルに関する情報を共有していただいたProCheckup LtdのAdrian Pastor氏にも感謝いたします。彼の調査報告書は、http://www.procheckup.com/vulnerability_manager/vulnerabilities/paper-04で入手できます。
Cisco PSIRTでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
URL
改訂履歴
Revision 2.0 |
2010年3月29日 |
「ソフトウェアバージョンと修正」セクションを更新。 |
リビジョン 1.3 |
2009年10月22 |
「エクスプロイト事例と公式発表」を更新し、追加の研究者情報を追加。 |
リビジョン 1.2 |
2009年6月19日 |
「HTTP WEB_EXECサービスの無効化」セクションを改訂。 |
リビジョン 1.1 |
2006年1月14日 |
アドバイザリクレジットを追加。 |
リビジョン 1.0 |
2005年12月1日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。