High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Communications Manager Express(CME)およびExtension Mobility機能用に設定されたCisco IOS®デバイスには、バッファオーバーフローの脆弱性が存在します。この脆弱性の不正利用に成功すると、該当デバイスで任意のコードが実行されたり、サービス拒否(DoS)状態が発生したりする可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090923-cme で公開されています。
注:2009年9月23日のCisco IOSセキュリティアドバイザリバンドル公開には11件のSecurity Advisoryが含まれています。10 件のアドバイザリは Cisco IOS ソフトウェアの脆弱性に対処するもので、 1 件は Cisco Unified Communications Manager の脆弱性に対処するものです。各アドバイザリには、そのアドバイザリで詳述された脆弱性を解決するリリースを記載しています。
個々の公開リンクは、次のリンクの「Cisco Event Response: Semiannual Cisco IOS Software Advisory Bundled Publication」に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep09.html
該当製品
Cisco Unified CMEおよびExtension Mobility機能が設定されているCisco Unified Communications 500シリーズを含むCisco IOSデバイスが影響を受けます。
脆弱性のある製品
Cisco Unified CMEおよびExtension Mobility用に設定されたCisco IOSデバイスでshow running-configコマンドを実行すると、次の出力が表示されます。
ephone [Ethernet phone tag] ... logout-profile [logout-profile tag]
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 カッコ内にイメージ名が表示され、その後に「バージョン」とCisco IOSソフトウェアリリース名が続きます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
以下の例は、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:
Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih <output truncated>
次の例は、インストールされたイメージ名が C1841-ADVENTERPRISEK9-M で、Cisco IOS ソフトウェア リリース 12.4(20)T を実行しているシスコ製品を示しています。
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team <output truncated>
Cisco IOSソフトウェアのリリース命名規則の追加情報は、次のリンクの「White Paper: Cisco IOS Reference Guide」で確認できます。http://www.cisco.com/warp/public/620/1.html。
脆弱性を含んでいないことが確認された製品
Survivable Remote Site Telephony(SRST)モードに設定されているCisco IOSデバイスは影響を受けません。
Cisco IOS XR は該当しません。
Cisco IOS XEは該当しません。
Cisco Unified Communications Managerは影響を受けません。
Extension Mobility機能を使用するように設定されていない限り、Cisco Unified CMEは影響を受けません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco Unified CMEは、Cisco IOSに統合された拡張IPテレフォニーソリューションの呼処理コンポーネントです。
Cisco Unified CMEのエクステンションモビリティ機能は、エンドユーザに電話モビリティのメリットを提供します。ユーザログインサービスを使用すると、電話機ユーザは自分以外の物理的な電話機に一時的にアクセスし、自分のデスクの電話機に割り当てられている個人設定(電話番号、スピードダイヤルリスト、サービスなど)を利用できます。電話機のユーザは、自分のデスクの電話機と同じ個人電話番号を使用して、その電話機でコールを発信および受信できます。Extension Mobility機能の詳細については、次のURLを参照してください。
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmemobl.html
Extension Mobility機能のログインセクションの脆弱性により、認証されていない攻撃者が任意のコードを実行したり、サービス拒否(DoS)状態を引き起こしたりする可能性があります。このようなパケットは、HTTP要求の形式で登録された電話機のIPアドレスからのみ送信されます。自動登録機能が有効になっている場合、攻撃者は自身のIPアドレスを登録し、巧妙に細工されたペイロードを送信してこの脆弱性を不正利用できます。自動登録機能はデフォルトで有効になっています。自動登録の詳細については、次のリンクを参照してください。
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/command/reference/cme_a1ht.html#wp1031242
この脆弱性は、Cisco Bug ID CSCsq58779 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-2865が割り当てられています。
回避策
Extension Mobilityを無効にする以外に、この脆弱性を軽減する回避策はありません。ただし、自動登録を無効にすると、不正利用がより困難になります。自動登録を無効にするには、次のコマンドを使用します。
telephony-service no auto-reg-ephone
自動登録を無効にする前に、Cisco Unified CMEですべての電話機のMACアドレスを明示的に定義する必要があります。それ以外の場合、電話機は登録できません。自動登録の詳細については、次のリンクを参照してください。
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/command/reference/cme_a1ht.html#wp1031242
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、このアドバイザリに関連するCisco適用対応策速報を次のリンク先で参照できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20090923-cme
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
メジャー リリース |
修正済みリリースの入手可能性 |
|
---|---|---|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.0ベースのリリースはありません。 |
||
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.1ベースのリリースはありません。 |
||
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.2ベースのリリースはありません。 |
||
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.3ベースのリリースはありません。 |
||
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.4(11)XW8 |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
12.4(15)XY4 |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
12.4(15)XZ1 |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
12.4(20)YA1 |
12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性はシスコ内部で発見されました。
URL
改訂履歴
リビジョン 1.0 |
2009年9月23日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。