Low
Low
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Intrusion Prevention System(IPS)ソフトウェアには、不正なSecure Socket Layer(SSL)パケットやフラグメント化パケットを回避する脆弱性に関連する、Web管理インターフェイスのサービス拒否(DoS)の脆弱性が含まれています。
Web管理インターフェイスのSSLサービス拒否の脆弱性に対する回避策があります。フラグメント化パケットによるIPS回避の脆弱性に対する回避策はありません。
Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060920-ips で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
次のCisco IPS/IDSバージョンは、Web管理インターフェイスのSSLサービス拒否の問題に対して脆弱です。
-
4.1(5c)より前のCisco IDS 4.1(x)ソフトウェア
-
5.0(6p1)より前のCisco IPS 5.0(x)ソフトウェア
-
5.1(2)よりも前のCisco IPS 5.1(x)ソフトウェア
フラグメント化パケットIPS回避の問題に対しては、次のバージョンのCisco IPSが脆弱です。
-
5.0(6p2)よりも前のCisco IPS 5.0(x)ソフトウェア
-
5.1(2)よりも前のCisco IPS 5.1(x)ソフトウェア
脆弱性のあるバージョンのCisco IPS/IDSソフトウェアを実行しているすべてのプラットフォームが影響を受けます。これには、4200シリーズアプライアンス、IDSM2、NM-CIDSルータモジュール、およびASA IPSモジュール(Advanced Inspection and Prevention(AIP)セキュリティサービスモジュール[SSM]とも呼ばれる)が含まれます。
IPS/IDSデバイスで実行されているソフトウェアのバージョンを確認するには、SSHまたはコンソールを使用してIPS/IDSデバイスにログインし、コマンドshow versionを発行します。
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.1(2)S242.0
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
IPS機能セットを含むCisco IOS®ソフトウェアイメージは、Virtual Fragment Reassembly(VFR)が有効になっている場合、IPS回避の脆弱性の影響を受けません。VFRが有効でない場合、フラグメント化されたIPトラフィックはIPSコンポーネントによって検査されないため、悪意のあるトラフィックが検出を回避できる可能性があります。詳細については、IOS IPSのドキュメントを参照してください。
詳細
Cisco Intrusion Prevention and Detection Systemは、ネットワークベースの脅威防御サービスを提供するネットワークセキュリティデバイスファミリです。
Cisco IPS/IDSデバイスのWeb管理インターフェイスには、DoS脆弱性が存在します。不正なSSLv2 Client HelloパケットがIPS/IDS Web管理インターフェイスに送信される可能性があり、これにより、リモートアクセスを管理するプロセス(mainApp)が失敗する可能性があります。その結果、IPS/IDSデバイスは、SSHおよびコンソールを介してWeb管理インターフェイスまたはコマンドラインインターフェイス(CLI)を介して将来のすべてのリモート管理要求に応答しなくなります。この脆弱性は、Cisco Bug ID CSCsd91720(登録ユーザ専用)およびCSCsd92033(登録ユーザ専用)に記載されています。この脆弱性は、当初はCisco IPSバージョン5.1(2)で修正されていました。
フラグメント化されたIPパケットの特別に巧妙に細工されたシーケンスを使用することで、悪意のあるトラフィックがCisco IPSデバイスによる検査を回避する可能性があります。これにより、攻撃者はIPSデバイスによって提供される保護を回避し、内部システムにアクセスできる可能性があります。インラインモードおよび混合モードで動作しているIPSデバイスが影響を受けます。この脆弱性は、Cisco Bug ID CSCse17206(登録ユーザ専用)およびCSCsf12379(登録ユーザ専用)に記載されています。この脆弱性は、当初はCisco IPSバージョン5.1(2)で修正されていました。
回避策
IPS/IDSデバイスにアクセスコントロールリスト(ACL)を適用して信頼できる管理システムへのアクセスを制限することで、Web管理インターフェイスのSSLサービス拒否の脆弱性の発現を制限できます。ACLを追加する手順については、次を参照してください。
http://www.cisco.com/en/US/docs/security/ips/5.1/configuration/guide/idm/dmSetup.html#wp1076229
フラグメント化パケットによるIPS回避の脆弱性に対する回避策はありません。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細は、次の URL を参照してください。
http://www.cisco.com/warp/public/620/1.html
該当するソフトウェア バージョン |
修正済みソフトウェアバージョン |
---|---|
Cisco IDS 4.1(5b)以前 |
Cisco IDS 4.1(5c) |
Cisco IPS 5.0(6p1)以前 |
Cisco IPS 5.0(6p2) |
Cisco IPS 5.1(1)以前 |
Cisco IPS 5.1(2) |
注:IPSバージョン5.1(2)はダウンロードできなくなりました。IPSバージョン5.1(3)に置き換えられました。
注:Bug ID CSCsd91720(登録ユーザのみ)はIPSバージョン5.0(6p1)で修正され、CSCsf12379(登録ユーザのみ)はIPSバージョン5.0(6p2)で修正されています。
Cisco IPSバージョン5.1(x)の修正済みソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ips5?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。
Cisco IPSバージョン4.1(x)および5.0(x)の修正済みソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ids-patches?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
Web管理インターフェイスのSSLサービス拒否の脆弱性は、Imperfect Networks社およびSpirent Communications社のCharles McAuley氏によって発見されました。
フラグメント化パケットによるIPS回避の脆弱性は、ウィスコンシン大学のコンピュータサイエンス部門のWisconsin Safety Analyzer Group(WiSA)のPratap Ramamurthy氏とShai Rubin氏によってシスコに報告されました。
URL
改訂履歴
リビジョン 1.0 |
2006年8月20日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。