Cisco Intrusion Prevention System Management InterfaceのDenial of Service(DoS)およびフラグメント化パケット回避の脆弱性

ダウンロードオプション

PDF (363.7 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (90.5 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (80.6 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2006 年 9 月 20 日

Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

Low

Download CVRF Email

Low

アドバイザリーID : cisco-sa-20060920-ips

初公開日 : 2006-09-20 16:00

バージョン 1.0 : Final

CVSSスコア : 2.3

回避策 : No Workarounds available

Cisco バグ ID :

CVE-2006-4910

Download CVRF

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Intrusion Prevention System(IPS)ソフトウェアには、不正なSecure Socket Layer(SSL)パケットやフラグメント化パケットを回避する脆弱性に関連する、Web管理インターフェイスのサービス拒否(DoS)の脆弱性が含まれています。

Web管理インターフェイスのSSLサービス拒否の脆弱性に対する回避策があります。フラグメント化パケットによるIPS回避の脆弱性に対する回避策はありません。

Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060920-ips で公開されています。

該当製品

このセクションには、該当製品に関する詳細が掲載されています。

脆弱性のある製品

次のCisco IPS/IDSバージョンは、Web管理インターフェイスのSSLサービス拒否の問題に対して脆弱です。

4.1(5c)より前のCisco IDS 4.1(x)ソフトウェア
5.0(6p1)より前のCisco IPS 5.0(x)ソフトウェア
5.1(2)よりも前のCisco IPS 5.1(x)ソフトウェア

フラグメント化パケットIPS回避の問題に対しては、次のバージョンのCisco IPSが脆弱です。

5.0(6p2)よりも前のCisco IPS 5.0(x)ソフトウェア
5.1(2)よりも前のCisco IPS 5.1(x)ソフトウェア

脆弱性のあるバージョンのCisco IPS/IDSソフトウェアを実行しているすべてのプラットフォームが影響を受けます。これには、4200シリーズアプライアンス、IDSM2、NM-CIDSルータモジュール、およびASA IPSモジュール(Advanced Inspection and Prevention(AIP)セキュリティサービスモジュール[SSM]とも呼ばれる)が含まれます。

IPS/IDSデバイスで実行されているソフトウェアのバージョンを確認するには、SSHまたはコンソールを使用してIPS/IDSデバイスにログインし、コマンドshow versionを発行します。

sensor#show version 
Application Partition: Cisco Intrusion
Prevention System, Version 5.1(2)S242.0

脆弱性を含んでいないことが確認された製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

IPS機能セットを含むCisco IOS^®ソフトウェアイメージは、Virtual Fragment Reassembly(VFR)が有効になっている場合、IPS回避の脆弱性の影響を受けません。VFRが有効でない場合、フラグメント化されたIPトラフィックはIPSコンポーネントによって検査されないため、悪意のあるトラフィックが検出を回避できる可能性があります。詳細については、IOS IPSのドキュメントを参照してください。

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6634/prod_white_paper0900aecd8043bc32.html

詳細

Cisco Intrusion Prevention and Detection Systemは、ネットワークベースの脅威防御サービスを提供するネットワークセキュリティデバイスファミリです。

Cisco IPS/IDSデバイスのWeb管理インターフェイスには、DoS脆弱性が存在します。不正なSSLv2 Client HelloパケットがIPS/IDS Web管理インターフェイスに送信される可能性があり、これにより、リモートアクセスを管理するプロセス(mainApp)が失敗する可能性があります。その結果、IPS/IDSデバイスは、SSHおよびコンソールを介してWeb管理インターフェイスまたはコマンドラインインターフェイス(CLI)を介して将来のすべてのリモート管理要求に応答しなくなります。この脆弱性は、Cisco Bug ID CSCsd91720(登録ユーザ専用)およびCSCsd92033(登録ユーザ専用)に記載されています。この脆弱性は、当初はCisco IPSバージョン5.1(2)で修正されていました。

フラグメント化されたIPパケットの特別に巧妙に細工されたシーケンスを使用することで、悪意のあるトラフィックがCisco IPSデバイスによる検査を回避する可能性があります。これにより、攻撃者はIPSデバイスによって提供される保護を回避し、内部システムにアクセスできる可能性があります。インラインモードおよび混合モードで動作しているIPSデバイスが影響を受けます。この脆弱性は、Cisco Bug ID CSCse17206(登録ユーザ専用)およびCSCsf12379(登録ユーザ専用)に記載されています。この脆弱性は、当初はCisco IPSバージョン5.1(2)で修正されていました。

回避策

IPS/IDSデバイスにアクセスコントロールリスト(ACL)を適用して信頼できる管理システムへのアクセスを制限することで、Web管理インターフェイスのSSLサービス拒否の脆弱性の発現を制限できます。ACLを追加する手順については、次を参照してください。

http://www.cisco.com/en/US/docs/security/ips/5.1/configuration/guide/idm/dmSetup.html#wp1076229

フラグメント化パケットによるIPS回避の脆弱性に対する回避策はありません。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンスプロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、リリーストレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性がある場合は、修正を含む最初のリリース（「第 1 修正済みリリース」）とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリースラベル以上）にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細は、次の URL を参照してください。

http://www.cisco.com/warp/public/620/1.html

該当するソフトウェアバージョン	修正済みソフトウェアバージョン
Cisco IDS 4.1(5b)以前	Cisco IDS 4.1(5c)
Cisco IPS 5.0(6p1)以前	Cisco IPS 5.0(6p2)
Cisco IPS 5.1(1)以前	Cisco IPS 5.1(2)

注：IPSバージョン5.1(2)はダウンロードできなくなりました。IPSバージョン5.1(3)に置き換えられました。

注：Bug ID CSCsd91720(登録ユーザのみ)はIPSバージョン5.0(6p1)で修正され、CSCsf12379(登録ユーザのみ)はIPSバージョン5.0(6p2)で修正されています。

Cisco IPSバージョン5.1(x)の修正済みソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ips5?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。

Cisco IPSバージョン4.1(x)および5.0(x)の修正済みソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ids-patches?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

Web管理インターフェイスのSSLサービス拒否の脆弱性は、Imperfect Networks社およびSpirent Communications社のCharles McAuley氏によって発見されました。

フラグメント化パケットによるIPS回避の脆弱性は、ウィスコンシン大学のコンピュータサイエンス部門のWisconsin Safety Analyzer Group(WiSA)のPratap Ramamurthy氏とShai Rubin氏によってシスコに報告されました。

URL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060920-ips

改訂履歴

リビジョン 1.0

2006年8月20日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。