日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
-
Cisco IronPort 暗号化アプライアンス デバイスには、デバイス上の任意のファイルに対してリモートの非認証アクセスが可能になる 2 つの脆弱性、およびリモートの非認証ユーザが昇格された特権を使用して任意のコードを実行できる 1 つの脆弱性が含まれています。 これらの脆弱性を軽減する回避策はありません。
このアドバイザリは http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100210-ironport で公開されています。
最近シスコは、これらの脆弱性を不正利用する追加の方法を認識しました。
この製品のライフサイクルに鑑みて、今後、これ以上のソフトウェア バージョンは公開されません。 End-of-Sale and End-of-Life Announcement for the Cisco IronPort Encryption Appliance および Cisco End-of-Life Policy を参照してください。
ただし、このアドバイザリで説明されている回避策は適用可能であり、これらの脆弱性に対応しています。
-
脆弱性が存在する製品
以下の Cisco IronPort 暗号化アプライアンスのバージョンが、この脆弱性の影響を受けます。
- Cisco IronPort Encryption Appliance 6.5 の各バージョン
- Cisco IronPort Encryption Appliance 6.2 の各バージョン
- Cisco IronPort PostX MAP の各バージョン
Cisco IronPort 暗号化アプライアンスで実行されているソフトウェアのバージョンは、Cisco IronPort 暗号化アプライアンスの管理インターフェイスの [About] ページで確認できます。
脆弱性が存在しない製品
Cisco IronPort C、M、S の各シリーズ アプライアンスは、これらの脆弱性の影響を受けません。 他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
-
注: IronPort は、お客様が利用できない内部システムを使用してバグをトラッキングします。 IronPort バグ トラッキング ID は参照専用です。
Cisco IronPort 暗号化アプライアンスには 2 つの情報漏洩の脆弱性があり、組み込み HTTPS サーバ経由で脆弱性のあるデバイス上の任意のファイルへの、リモートの非認証アクセスが可能です。 Cisco IronPort 暗号化アプライアンスの管理インターフェイスに影響を与える第 1 の脆弱性は IronPort Bug 65921 に文書化されており、Common Vulnerabilities and Exposures(CVE)ID CVE-2010-0143 が割り当てられています。 WebSafe Servlet に影響を与える第 2 の脆弱性は IronPort Bug 65922 に文書化されており、Common Vulnerabilities and Exposures(CVE)ID CVE-2010-0144 が割り当てられています。
Cisco IronPort 暗号化アプライアンスにはリモート コード実行の脆弱性があり、非認証の攻撃者が、昇格された権限を使用して、脆弱性のあるデバイスに任意のコードを組み込み HTTPS サーバ経由で実行できます。 この脆弱性は IronPort Bug 65923 に文書化されており、Common Vulnerabilities and Exposures(CVE)ID CVE-2010-0145 が割り当てられています。
-
管理インターフェイスのファイル アクセスの脆弱性(IronPort Bug 65921)は、管理インターフェイスの IP アドレスの制限機能を使用して、アクセスを信頼できるホストのみに制限することにより緩和できます。 管理インターフェイスへのアクセスはデフォルトでは制限されていません。 アクセス制限を設定するには、管理者が Cisco IronPort 暗号化アプライアンス管理インターフェイスを使用して [Configuration] -> [Web Services] -> [Admin] -> [Console Security] エリアに移動します。
リモート コード実行の脆弱性(IronPort Bug 65923)は、Cisco IronPort 暗号化アプライアンスのコンフィギュレーション ファイルで HTTP 呼び出し機能を無効化することにより回避できます。 HTTP 呼び出し機能を無効化するには、管理者が PostX アプリケーションのホーム ディレクトリにあるいくつかのファイルを削除し、Web サーバの設定からディレクティブを削除する必要があります。 次のファイルは削除する必要があります。
jboss/server/postx/deploy/http-invoker.sar
jboss/server/postx/deploy/jms/jbossmq-httpil.sarWeb サーバ コンフィギュレーション ファイル jboss/server/postx/conf/jboss-service.xml から次のディレクティブを削除する必要があります。
<mbean code="org.jboss.varia.deployment.BeanShellSubDeployer" name="jboss.scripts:service=BSHDeployer"> </mbean>
JMXConsole と WebConsole も同様に削除する必要があります。 これには、管理者として次のコマンドを実行してください。
cd /usr/local/postx/server/jboss/server/postx/deploy
mv jmx-console.war jmx-console-disabled.war
cd management
mv web-console.war web-console-disabled.warこのファイルを削除し、コンフィギュレーション ファイルからディレクティブを削除した後、PostX アプリケーション サービスを再起動する必要があります。
ネットワーク内のシスコ デバイスに適用可能な他の対応策は、このアドバイザリの付属ドキュメントである『Cisco Applied Mitigation Bulletin』で参照できます。
-
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt や、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
-
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
これらの脆弱性は、Jesse Michael 氏と Alexander Senkevitch 氏によって発見され、シスコに報告されました。 シスコは、これらの脆弱性の報告、およびシスコと連携して情報開示を調整していただいたことをJesse 氏と Alexander 氏に感謝いたします。
-
Revision 1.2 2015-October-03 Updated the advisory to reflect that no software fixes are available to address all the known ways to exploit these vulnerabilities. Revision 1.1 2014-July-30 Updated the Workarounds section with additional details. Revision 1.0 2010-February-10 Initial public release.
-
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。
情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。