日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Transport Layer Security(TLS)プロトコルには業界全体に及ぶ脆弱性があり、TLSおよびSSLの任意のバージョンを使用するシスコ製品に影響を与える可能性があります。この脆弱性は、プロトコルがセッションの再ネゴシエーションを処理する方法に存在し、潜在的な中間者攻撃にユーザを晒します。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20091109-tls で公開されています。
該当製品
シスコは現在、これらのTLSの問題に対する潜在的な影響について製品を評価しています。製品の問題に関する最終的な判断が行われた場合、このアドバイザリの「脆弱性が存在する製品」または「脆弱性を含んでいないことが確認された製品」のセクションにのみ製品がリストされます。これら2つのセクションのいずれにも記載されていない製品は、引き続き評価中です。
脆弱性のある製品
このセクションは、より詳細な情報が入手可能になると更新されます。次の製品に脆弱性が存在することが確認されています。
- Cisco Internet Streamer CDS
- Cisco ACE 4700 シリーズ Application Control Engine Appliance
- Cisco ACE アプリケーション コントロール エンジン モジュール
- Cisco ACE GSS 4400シリーズグローバルサイトセレクタアプライアンス
- Cisco ACE Web Application Firewall
- Cisco Wireless Control System
- Cisco Wireless LAN Controller(WLC)
注:Extensible Authentication Protocol Transport Layer Security(EAP-TLS)およびProtected Extensible Authentication Protocol(PEAP)はこの脆弱性の影響を受けません。 - Cisco Wireless Location Appliance
- CiscoWorks Wireless LAN Solution Engine(WLSE)
- Ciscoデジタルメディアプレーヤー
- Cisco Digital Media Manager
- Cisco Access Control Server(ACS)
- CiscoWorks Common Services
- Cisco Telepresenceレコーディングサーバ
- Cisco NX-OS ソフトウェア
- Cisco Video Surveillance オペレーション マネージャ ソフトウェア
- Cisco Video Surveillance メディア サーバ ソフトウェア
- Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM)
- Cisco AVS 3120および3180シリーズApplication Velocity System
- Cisco CSS 11500 シリーズ コンテンツ サービス スイッチ
CSS 11500シリーズコンテンツサービススイッチは、デフォルト設定でこの脆弱性の影響を受けます。ただし、クライアント認証機能は緩和策または解決策として有効にできます。
仮想SSLサーバでクライアント認証を有効または無効にするには、ssl-proxy-listの下でssl-server <number> authenticationコマンドを使用します。
注:デフォルトでは、クライアント認証は無効になっています。CSSでクライアント認証を有効にした後、クライアント証明書を確認するためにCSSが使用するCA証明書を指定する必要があります。 - Ciscoコンテンツスイッチングモジュール(CSM)
- Cisco Wide Area Application Services(WAAS)
- Cisco Application Networking Manager(ANM)
- Cisco Unified IP Phone
- Cisco ONS 15500 シリーズ
- Cisco Unified Contact Center製品
- Cisco Security Agent(CSA)
- Cisco IP Communicator
- Cisco Network Registrar
- Cisco Unified Communications Manager(CallManager)
- Cisco Network Analysis Module(NAM)ソフトウェア
- Cisco IronPort Eメールセキュリティアプライアンス(XシリーズおよびCシリーズ)
- Cisco Spam & Virus Blocker(Bシリーズ)
- Cisco IronPortのWebセキュリティアプライアンス(Sシリーズ)
- Cisco IronPortセキュリティマネージメントアプライアンス(Mシリーズ)
- Cisco IronPortの暗号化アプライアンス(IEA)
- Cisco Catalyst 6500シリーズSSLサービスモジュール
- Cisco Pixの場合
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_eol_notices_list.html
脆弱性を含んでいないことが確認された製品
次の製品には脆弱性が存在しないことが確認されています。
- Cisco AnyConnect VPN Client
- Cisco Unified MeetingPlace
- Cisco Data Center Network Manager
- Cisco Service Control Subscriber Manager
- Cisco Secure Desktop(CSD)
- Cisco ASA Advanced Inspection and Prevention(AIP)セキュリティ サービス モジュール
- Cisco Transport Manager(CTM)
- Cisco IOS SSL VPN(トンネルモード)
- Cisco IOS HTTPセキュアサーバ
- Cisco侵入防御システム(CIDS/IPS)
このセクションは、より詳細な情報が入手可能になると更新されます。
詳細
TLSとその前身であるSSLは、インターネットなどのIPデータネットワークを介した通信にセキュリティを提供する暗号化プロトコルです。TLSプロトコルには業界全体に及ぶ脆弱性があり、TLSおよびSSLの任意のバージョンを使用するシスコ製品に影響を与える可能性があります。この脆弱性は、プロトコルがセッションの再ネゴシエーションを処理する方法に存在し、潜在的な中間者攻撃にユーザを晒します。
注:Extensible Authentication Protocol Transport Layer Security(EAP-TLS)およびProtected Extensible Authentication Protocol(PEAP)はこの脆弱性の影響を受けません。
次のCisco Bug IDは、SSLおよびTLSの問題が発生する可能性を追跡するために使用されています。次に示すバグは、製品に脆弱性が存在することを確認するものではなく、製品が適切な製品チームによって調査中であることを確認するものです。
シスコの登録ユーザは、Cisco Bug Toolkit(http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl)でこれらのバグを確認できます。
製品 |
Bug ID |
---|---|
Cisco ACE 4700 シリーズ Application Control Engine Appliance |
|
Cisco ACE アプリケーション コントロール エンジン モジュール |
|
Cisco ACE GSS 4400シリーズグローバルサイトセレクタアプライアンス |
|
Cisco ACE Web Application Firewall |
|
Cisco Adaptive Security Device Manager(ASDM) |
|
Cisco AONソフトウェア |
|
HIPAAおよびePrescriptionに関するCisco AON Healthcare |
|
Cisco Application and Content Networking System(ACNS)ソフトウェア |
|
Cisco Application Networking Manager |
|
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス |
|
Cisco ASA Advanced Inspection and Prevention(AIP)セキュリティ サービス モジュール |
|
Cisco AVS 3100シリーズApplication Velocity System |
|
Cisco Catalyst 6500シリーズSSLサービスモジュール |
|
Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM) |
|
Cisco CSS 11000 シリーズ コンテンツ サービス スイッチ |
|
Cisco Unified SIP電話 |
|
Ciscoデータモビリティマネージャ |
|
Cisco Digital Media Manager |
|
Cisco Digital Media Player |
|
Cisco Emergency Responder |
|
Cisco Internet Streamer CDS |
|
Cisco IOS ソフトウェア |
|
Cisco IOS XE ソフトウェア |
|
Cisco IOS XR ソフトウェア |
|
Cisco IP Communicator |
|
CATOS |
|
Cisco IronPortアプライアンス |
|
Cisco NAC アプライアンス(Clean Access) |
|
Cisco NAC Guest Server |
|
Cisco NAC Profiler |
|
Cisco Network Analysis Module(NAM)ソフトウェア |
|
Cisco Network Registrar |
|
Cisco ONS 15500 シリーズ |
|
Cisco Physical Access Gateway |
|
Cisco Physical Access Manager |
|
Cisco QoSデバイスマネージャ |
|
Cisco Secure Access Control Server(ACS) |
|
Cisco Secure Desktop |
|
Cisco Secure Services Client |
|
Cisco Security AgentのCSA |
|
Cisco Security Monitoring Analysis and Response System(MARS) |
|
Cisco Unified IP Phone |
|
Cisco TelePresence Manager |
|
消費者向けテレプレゼンス |
|
Cisco TelePresenceレコーディングサーバ |
|
Cisco Network Asset Collector |
|
Cisco Unified Communications Manager(CallManager) |
|
Cisco Unified Business Attendant Console |
|
Cisco Unified Contact Center Enterprise |
|
Cisco Unified Contact Center Express |
|
Cisco Unified Contact Center Management Portal |
|
Cisco Unified Contact Center製品 |
|
Cisco Unified Department Attendant Console |
|
Cisco Unified E-Mail Interaction Manager |
|
Cisco Unified Enterprise Attendant Console |
|
Cisco Unified Mobility |
|
Cisco Unified Mobility Advantage |
|
Cisco Unified Operations Manager |
|
Cisco Unified Personal Communicator |
|
Cisco Unified Presence |
|
Cisco Unified Provisioning Manager |
|
Cisco Unified Quick Connect |
|
Cisco Unified Service Monitor |
|
Cisco Unified Service Statistics Manager |
|
Cisco Unified Sip Proxy |
|
Cisco Unity |
|
Cisco NX-OS ソフトウェア |
|
Cisco Video Portal |
|
Cisco Video Surveillance メディア サーバ ソフトウェア |
|
Cisco Video Surveillance オペレーション マネージャ ソフトウェア |
|
Cisco Wide Area Application Services(WAAS) |
|
Cisco Wireless Control System |
|
CiscoワイヤレスLANコントローラ(WLAN) |
|
Cisco Wireless Location Appliance |
|
CiscoWorks Common Servicesソフトウェア |
|
CiscoWorks Wireless LAN Solution Engine(WLSE) |
|
Linksysルータ |
Bug Toolkitで表示できない |
WebEx接続 |
Bug Toolkitで表示できない |
WebEx Event Center |
Bug Toolkitで表示できない |
WebEx Meeting Center |
Bug Toolkitで表示できない |
WebExミートミー(MMN) |
Bug Toolkitで表示できない |
WebEx PCNow(PCN) |
Bug Toolkitで表示できない |
WebExセールスセンター |
Bug Toolkitで表示できない |
WebEx Support Center |
Bug Toolkitで表示できない |
WebEx Training Center |
Bug Toolkitで表示できない |
この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-3555が割り当てられています。
回避策
既知の回避策はありません。
修正済みソフトウェア
このセクションは、影響を受けるシスコ製品の修正済みソフトウェアバージョンが入手可能になり次第、含まれるように更新されます。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のソフトウェアテーブルの各行には、SSL/TLS再ネゴシエーションを無効にするためのパッチが適用された製品と、修正が含まれているソフトウェアのバージョンが示されています。特定の列のリリースよりも古いリリース(「First Fixed in Release」よりも古いリリース)を実行しているデバイスは、脆弱であることが確認されています。リリースは、少なくとも指定されたリリース以降のバージョンにアップグレードする必要があります。
製品 |
第 1 修正済みリリース |
---|---|
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス |
8.0(5.6) 8.1(2.39) 8.2(1.16) 8.3(0.08) 7.2(4.44) |
Cisco ACE 4700 シリーズ Application Control Engine Appliance |
3.0(0)A3(2.4.61) |
Cisco ACE アプリケーション コントロール エンジン モジュール |
3.0(0)A2(2.2.28) 3.0(0)A2(2.3) |
Cisco Application and Content Networking System(ACNS)ソフトウェア |
5.5.17 |
Cisco Catalyst 6500シリーズおよびCisco 7600シリーズファイアウォールサービスモジュール(FWSM) |
3.1(17) 3.2(15) 4.0(9) 4.1(1) |
Cisco Internet Streamer CDS |
2.6.0 |
Cisco IronportのEメールセキュリティアプライアンス(XシリーズおよびCシリーズ) |
7.0.1以降 |
Cisco IronportのWebセキュリティアプライアンス(Sシリーズ) |
6.3.3以降 |
Cisco Mobile Wireless Transport Manager(MWTM) |
6.1(2) |
Cisco Network Analysis Module(NAM)ソフトウェア |
4.1(1-patch2) |
Ciscoネットワークコレクタ |
6.1 |
Cisco NX-OSソフトウェア(Nexus 5000) |
4.1(3)N2(1a) |
Cisco NX-OSソフトウェア(Nexus 7000) |
4.2(3) 5.0 |
Cisco Security AgentのCSA |
6.0(1.126) 6.0(2.099) |
Cisco Unified Communications Manager(CallManager) |
6.1(5) 8.0(0.98000.106) |
Cisco Unified Computing Systemブレードサーバ |
4.0(1a)N2(1.2h) 4.0(1a)N2(1.2j) |
Cisco Unified IP Phone |
RT:リリース9.0.3 TNP:リリース9.0.2 |
Cisco Unified Intelligent Contact Management Enterprise |
7.5(8) 8.0(1) |
Cisco Unity Connection |
8.0(1) |
Cisco Wide Area Application Services(WAAS) |
4.1.7 4.2.1 |
CiscoワイヤレスLANコントローラ(WLAN) |
6.0(196.000) |
Cisco Video Surveillance メディア サーバ ソフトウェア |
4.2.1/6.2.1 |
修正済みのCisco ASAソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRTからダウンロードできます。
その他の修正済みソフトウェアは、http://www.cisco.com/cisco/psn/web/download/index.htmlからダウンロードできます。
推奨事項
不正利用事例と公式発表
この脆弱性は、PhoneFactor, Inc.のMarsh Ray氏とSteve Dispensa氏によって最初に発見されました。
シスコでは、この脆弱性の悪用に関する情報を入手していません。
この脆弱性に対する概念実証エクスプロイトコードが公開されています。
URL
改訂履歴
リビジョン 1.15 |
2011年10月20日 |
「脆弱性が存在する製品」および「脆弱性が存在しない製品」の更新 |
リビジョン 1.14 |
2010年7月22日 |
脆弱性が存在する製品の更新 |
リビジョン 1.13 |
2010年3月29日 |
CUCMの修正済みソフトウェアバージョンの更新 |
リビジョン 1.12 |
2010年3月10日 |
WAASおよびWLCの修正済みソフトウェアバージョンの更新 |
リビジョン 1.11 |
2010年3月3日 |
「脆弱性を含んでいないことが確認された製品」にIOS HTTP Secure Secureを追加 |
リビジョン 1.10 |
2010年2月26日 |
修正済みソフトウェアの更新 |
Revision 1.9 |
2010年2月5日 |
該当製品と詳細セクションの更新 |
リビジョン 1.8 |
2010年1月21日 |
「ソフトウェア修正の表」および「脆弱性を含んでいないことが確認された製品」を更新 |
Revision 1.7 |
2010年1月4日 |
該当製品のアップデート |
Revision 1.6 |
2009年12月18日 |
該当製品と詳細の更新 |
Revision 1.5 |
2009年12月14日 |
EAP-TLSおよびPEAPには脆弱性はありません。 |
リビジョン 1.4 |
2009年12月4日 |
詳細と影響の更新。 |
リビジョン 1.3 |
2009年12月3日 |
該当製品のアップデート |
リビジョン 1.2 |
2009-November-18 |
該当製品のアップデート |
リビジョン 1.1 |
2009-November-16 |
該当製品のアップデート |
リビジョン 1.0 |
2009年11月9日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。