Transport Layer Security再ネゴシエーションの脆弱性

ダウンロードオプション

PDF (401.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (86.0 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (83.1 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2009 年 11 月 9 日

Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

severity

Download CVRF Email

severity

アドバイザリーID : cisco-sa-20091109-tls

初公開日 : 2009-11-09 13:00

最終更新日 : 2011-10-20 15:47

バージョン 1.15 : Final

回避策 : No Workarounds available

Cisco バグ ID :

CVE-2009-3555

Download CVRF

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Transport Layer Security(TLS)プロトコルには業界全体に及ぶ脆弱性があり、TLSおよびSSLの任意のバージョンを使用するシスコ製品に影響を与える可能性があります。この脆弱性は、プロトコルがセッションの再ネゴシエーションを処理する方法に存在し、潜在的な中間者攻撃にユーザを晒します。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20091109-tls で公開されています。

該当製品

シスコは現在、これらのTLSの問題に対する潜在的な影響について製品を評価しています。製品の問題に関する最終的な判断が行われた場合、このアドバイザリの「脆弱性が存在する製品」または「脆弱性を含んでいないことが確認された製品」のセクションにのみ製品がリストされます。これら2つのセクションのいずれにも記載されていない製品は、引き続き評価中です。

脆弱性のある製品

このセクションは、より詳細な情報が入手可能になると更新されます。次の製品に脆弱性が存在することが確認されています。

Cisco Internet Streamer CDS
Cisco ACE 4700 シリーズ Application Control Engine Appliance
Cisco ACE アプリケーションコントロールエンジンモジュール
Cisco ACE GSS 4400シリーズグローバルサイトセレクタアプライアンス
Cisco ACE Web Application Firewall
Cisco Wireless Control System
Cisco Wireless LAN Controller（WLC）
注：Extensible Authentication Protocol Transport Layer Security(EAP-TLS)およびProtected Extensible Authentication Protocol(PEAP)はこの脆弱性の影響を受けません。

Cisco Wireless Location Appliance
CiscoWorks Wireless LAN Solution Engine（WLSE）
Ciscoデジタルメディアプレーヤー
Cisco Digital Media Manager
Cisco Access Control Server(ACS)
CiscoWorks Common Services
Cisco Telepresenceレコーディングサーバ
Cisco NX-OS ソフトウェア
Cisco Video Surveillance オペレーションマネージャソフトウェア
Cisco Video Surveillance メディアサーバソフトウェア
Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス
Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM)
Cisco AVS 3120および3180シリーズApplication Velocity System
Cisco CSS 11500 シリーズコンテンツサービススイッチ
CSS 11500シリーズコンテンツサービススイッチは、デフォルト設定でこの脆弱性の影響を受けます。ただし、クライアント認証機能は緩和策または解決策として有効にできます。
仮想SSLサーバでクライアント認証を有効または無効にするには、ssl-proxy-listの下でssl-server <number> authenticationコマンドを使用します。
注：デフォルトでは、クライアント認証は無効になっています。CSSでクライアント認証を有効にした後、クライアント証明書を確認するためにCSSが使用するCA証明書を指定する必要があります。

Ciscoコンテンツスイッチングモジュール(CSM)
Cisco Wide Area Application Services（WAAS）
Cisco Application Networking Manager(ANM)
Cisco Unified IP Phone
Cisco ONS 15500 シリーズ
Cisco Unified Contact Center製品
Cisco Security Agent（CSA）
Cisco IP Communicator
Cisco Network Registrar
Cisco Unified Communications Manager（CallManager）
Cisco Network Analysis Module(NAM)ソフトウェア
Cisco IronPort Eメールセキュリティアプライアンス（XシリーズおよびCシリーズ）
Cisco Spam & Virus Blocker（Bシリーズ）
Cisco IronPortのWebセキュリティアプライアンス（Sシリーズ）
Cisco IronPortセキュリティマネージメントアプライアンス（Mシリーズ）
Cisco IronPortの暗号化アプライアンス(IEA)
Cisco Catalyst 6500シリーズSSLサービスモジュール
Cisco Pixの場合
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_eol_notices_list.html

脆弱性を含んでいないことが確認された製品

次の製品には脆弱性が存在しないことが確認されています。

Cisco AnyConnect VPN Client
Cisco Unified MeetingPlace
Cisco Data Center Network Manager
Cisco Service Control Subscriber Manager
Cisco Secure Desktop（CSD）
Cisco ASA Advanced Inspection and Prevention（AIP）セキュリティサービスモジュール
Cisco Transport Manager（CTM）
Cisco IOS SSL VPN（トンネルモード）
Cisco IOS HTTPセキュアサーバ
Cisco侵入防御システム(CIDS/IPS)

このセクションは、より詳細な情報が入手可能になると更新されます。

詳細

TLSとその前身であるSSLは、インターネットなどのIPデータネットワークを介した通信にセキュリティを提供する暗号化プロトコルです。TLSプロトコルには業界全体に及ぶ脆弱性があり、TLSおよびSSLの任意のバージョンを使用するシスコ製品に影響を与える可能性があります。この脆弱性は、プロトコルがセッションの再ネゴシエーションを処理する方法に存在し、潜在的な中間者攻撃にユーザを晒します。

注：Extensible Authentication Protocol Transport Layer Security(EAP-TLS)およびProtected Extensible Authentication Protocol(PEAP)はこの脆弱性の影響を受けません。

次のCisco Bug IDは、SSLおよびTLSの問題が発生する可能性を追跡するために使用されています。次に示すバグは、製品に脆弱性が存在することを確認するものではなく、製品が適切な製品チームによって調査中であることを確認するものです。

シスコの登録ユーザは、Cisco Bug Toolkit(http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl)でこれらのバグを確認できます。

製品	Bug ID
Cisco ACE 4700 シリーズ Application Control Engine Appliance	0.CSCtd00730
Cisco ACE アプリケーションコントロールエンジンモジュール	0.CSCtd00816
Cisco ACE GSS 4400シリーズグローバルサイトセレクタアプライアンス	0.CSCtd01467
Cisco ACE Web Application Firewall	0.CSCtd01474
Cisco Adaptive Security Device Manager(ASDM)	0.CSCtd01491
Cisco AONソフトウェア	0.CSCtd01646
HIPAAおよびePrescriptionに関するCisco AON Healthcare	0.CSCtd01652
Cisco Application and Content Networking System（ACNS）ソフトウェア	0.CSCtd01529
Cisco Application Networking Manager	0.CSCtd01480
Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス	0.CSCtd00697
Cisco ASA Advanced Inspection and Prevention（AIP）セキュリティサービスモジュール	0.CSCtd01539
Cisco AVS 3100シリーズApplication Velocity System	0.CSCtd26728
Cisco Catalyst 6500シリーズSSLサービスモジュール	0.CSCtd06389
Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM)	0.CSCtd04061
Cisco CSS 11000 シリーズコンテンツサービススイッチ	0.CSCtd01636
Cisco Unified SIP電話	0.CSCtd01446
Ciscoデータモビリティマネージャ	0.CSCtd02642
Cisco Digital Media Manager	0.CSCtd01692
Cisco Digital Media Player	0.CSCtd01718
Cisco Emergency Responder	0.CSCti60073
Cisco Internet Streamer CDS	0.CSCti15962
Cisco IOS ソフトウェア	0.CSCtd00658
Cisco IOS XE ソフトウェア	0.CSCtd00658
Cisco IOS XR ソフトウェア	0.CSCtd02658
Cisco IP Communicator	0.CSCtd02662
CATOS	0.CSCtd00662
Cisco IronPortアプライアンス	0.CSCtd02069
Cisco NAC アプライアンス（Clean Access）	0.CSCtd01453
Cisco NAC Guest Server	0.CSCtd01462
Cisco NAC Profiler	0.CSCtd02716
Cisco Network Analysis Module(NAM)ソフトウェア	0.CSCtd02729
Cisco Network Registrar	0.CSCtd02748
Cisco ONS 15500 シリーズ	0.CSCtd11877
Cisco Physical Access Gateway	0.CSCtd02777
Cisco Physical Access Manager	0.CSCtd03912
Cisco QoSデバイスマネージャ	0.CSCtd03923
Cisco Secure Access Control Server（ACS）	CSCtd00725およびCSCtd69422
Cisco Secure Desktop	0.CSCtd03928
Cisco Secure Services Client	0.CSCtd03935
Cisco Security AgentのCSA	0.CSCtd02689
Cisco Security Monitoring Analysis and Response System（MARS）	0.CSCtd02654
Cisco Unified IP Phone	0.CSCtd04121
Cisco TelePresence Manager	0.CSCtd01771
消費者向けテレプレゼンス	0.CSCtd01752
Cisco TelePresenceレコーディングサーバ	0.CSCtd01742
Cisco Network Asset Collector	CSCtd04198およびCSCtd37007
Cisco Unified Communications Manager（CallManager）	CSCtd01282、CSCtd14027およびCSCtd14040
Cisco Unified Business Attendant Console	0.CSCtd05731
Cisco Unified Contact Center Enterprise	CSCtd05790、CSCtd17048およびCSCtd17077
Cisco Unified Contact Center Express	0.CSCtd05790
Cisco Unified Contact Center Management Portal	0.CSCtd05755
Cisco Unified Contact Center製品	0.CSCtd05790
Cisco Unified Department Attendant Console	0.CSCtd05733
Cisco Unified E-Mail Interaction Manager	0.CSCtd05756
Cisco Unified Enterprise Attendant Console	0.CSCtd05735
Cisco Unified Mobility	0.CSCtd05786
Cisco Unified Mobility Advantage	0.CSCtd05783
Cisco Unified Operations Manager	0.CSCtd05784
Cisco Unified Personal Communicator	0.CSCtd05759
Cisco Unified Presence	CSCtd05791およびCSCte81278
Cisco Unified Provisioning Manager	0.CSCtd05777
Cisco Unified Quick Connect	0.CSCtd05738
Cisco Unified Service Monitor	0.CSCtd05780
Cisco Unified Service Statistics Manager	0.CStCd05778
Cisco Unified Sip Proxy	0.CSCtd05765
Cisco Unity	0.CSCtd02855
Cisco NX-OS ソフトウェア	CSCtd00699およびCSCtd00703
Cisco Video Portal	0.CSCtd04097
Cisco Video Surveillance メディアサーバソフトウェア	0.CSCtd02831
Cisco Video Surveillance オペレーションマネージャソフトウェア	0.CSCtd02780
Cisco Wide Area Application Services（WAAS）	0.CSCtd13914
Cisco Wireless Control System	0.CSCtd01625
CiscoワイヤレスLANコントローラ(WLAN)	0.CSCtd01611
Cisco Wireless Location Appliance	0.CSCtd04115
CiscoWorks Common Servicesソフトウェア	0.CSCtd01597
CiscoWorks Wireless LAN Solution Engine（WLSE）	0.CSCtd04111
Linksysルータ	Bug Toolkitで表示できない
WebEx接続	Bug Toolkitで表示できない
WebEx Event Center	Bug Toolkitで表示できない
WebEx Meeting Center	Bug Toolkitで表示できない
WebExミートミー(MMN)	Bug Toolkitで表示できない
WebEx PCNow(PCN)	Bug Toolkitで表示できない
WebExセールスセンター	Bug Toolkitで表示できない
WebEx Support Center	Bug Toolkitで表示できない
WebEx Training Center	Bug Toolkitで表示できない

この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-3555が割り当てられています。

回避策

既知の回避策はありません。

修正済みソフトウェア

このセクションは、影響を受けるシスコ製品の修正済みソフトウェアバージョンが入手可能になり次第、含まれるように更新されます。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンスプロバイダーにお問い合せください。

次のソフトウェアテーブルの各行には、SSL/TLS再ネゴシエーションを無効にするためのパッチが適用された製品と、修正が含まれているソフトウェアのバージョンが示されています。特定の列のリリースよりも古いリリース（「First Fixed in Release」よりも古いリリース）を実行しているデバイスは、脆弱であることが確認されています。リリースは、少なくとも指定されたリリース以降のバージョンにアップグレードする必要があります。

製品	第 1 修正済みリリース
Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス	8.0（5.6） 8.1（2.39） 8.2（1.16） 8.3（0.08） 7.2（4.44）
Cisco ACE 4700 シリーズ Application Control Engine Appliance	3.0(0)A3(2.4.61)
Cisco ACE アプリケーションコントロールエンジンモジュール	3.0(0)A2(2.2.28) 3.0(0)A2(2.3)
Cisco Application and Content Networking System（ACNS）ソフトウェア	5.5.17
Cisco Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM)	3.1(17) 3.2(15) 4.0(9) 4.1(1)
Cisco Internet Streamer CDS	2.6.0
Cisco IronportのEメールセキュリティアプライアンス（XシリーズおよびCシリーズ）	7.0.1以降
Cisco IronportのWebセキュリティアプライアンス（Sシリーズ）	6.3.3以降
Cisco Mobile Wireless Transport Manager(MWTM)	6.1(2)
Cisco Network Analysis Module(NAM)ソフトウェア	4.1(1-patch2)
Ciscoネットワークコレクタ	6.1
Cisco NX-OSソフトウェア(Nexus 5000)	4.1(3)N2(1a)
Cisco NX-OSソフトウェア(Nexus 7000)	4.2(3) 5.0
Cisco Security AgentのCSA	6.0（1.126） 6.0（2.099）
Cisco Unified Communications Manager（CallManager）	6.1(5) 8.0(0.98000.106)
Cisco Unified Computing Systemブレードサーバ	4.0(1a)N2(1.2h) 4.0(1a)N2(1.2j)
Cisco Unified IP Phone	RT：リリース9.0.3 TNP：リリース9.0.2
Cisco Unified Intelligent Contact Management Enterprise	7.5(8) 8.0(1)
Cisco Unity Connection	8.0(1)
Cisco Wide Area Application Services（WAAS）	4.1.7 4.2.1
CiscoワイヤレスLANコントローラ(WLAN)	6.0（196.000）
Cisco Video Surveillance メディアサーバソフトウェア	4.2.1/6.2.1

修正済みのCisco ASAソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRTからダウンロードできます。

その他の修正済みソフトウェアは、http://www.cisco.com/cisco/psn/web/download/index.htmlからダウンロードできます。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

この脆弱性は、PhoneFactor, Inc.のMarsh Ray氏とSteve Dispensa氏によって最初に発見されました。

シスコでは、この脆弱性の悪用に関する情報を入手していません。

この脆弱性に対する概念実証エクスプロイトコードが公開されています。

URL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20091109-tls

改訂履歴

リビジョン 1.15	2011年10月20日	「脆弱性が存在する製品」および「脆弱性が存在しない製品」の更新
リビジョン 1.14	2010年7月22日	脆弱性が存在する製品の更新
リビジョン 1.13	2010年3月29日	CUCMの修正済みソフトウェアバージョンの更新
リビジョン 1.12	2010年3月10日	WAASおよびWLCの修正済みソフトウェアバージョンの更新
リビジョン 1.11	2010年3月3日	「脆弱性を含んでいないことが確認された製品」にIOS HTTP Secure Secureを追加
リビジョン 1.10	2010年2月26日	修正済みソフトウェアの更新
Revision 1.9	2010年2月5日	該当製品と詳細セクションの更新
リビジョン 1.8	2010年1月21日	「ソフトウェア修正の表」および「脆弱性を含んでいないことが確認された製品」を更新
Revision 1.7	2010年1月4日	該当製品のアップデート
Revision 1.6	2009年12月18日	該当製品と詳細の更新
Revision 1.5	2009年12月14日	EAP-TLSおよびPEAPには脆弱性はありません。
リビジョン 1.4	2009年12月4日	詳細と影響の更新。
リビジョン 1.3	2009年12月3日	該当製品のアップデート
リビジョン 1.2	2009-November-18	該当製品のアップデート
リビジョン 1.1	2009-November-16	該当製品のアップデート
リビジョン 1.0	2009年11月9日	初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。