Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Small Business Video SurveillanceカメラおよびCisco RVS4000 4ポートギガビットセキュリティルータには、認証されたユーザが、認証されたユーザの許可レベルに関係なく、他のユーザのパスワードを表示できる可能性のある脆弱性が存在します。
非特権ユーザは、この脆弱性を利用して、デバイスに対する完全な管理アクセス権を取得したり、他のユーザのクレデンシャルを表示したりできます。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性を軽減する回避策は、一部のデバイスで利用できます。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100421-vsc で公開されています。
該当製品
脆弱性のある製品
この脆弱性は、Cisco RVS4000 4ポートギガビットセキュリティルータ、およびCisco PVC300 Pan Tilt Optical Zoom Cameraを除くすべてのCisco Small Business Video Surveillanceカメラに影響を与えます。次のカメラが影響を受けます。
-
Cisco PVC2300ビジネスインターネットビデオカメラ – 音声/PoE
-
Cisco WVC200 Wireless-G PTZインターネットビデオカメラ – 音声
-
Cisco WVC210 Wireless-G PTZインターネットビデオカメラ – 双方向オーディオ
-
Cisco WVC2300 Wireless-Gビジネスインターネットビデオカメラ – 音声
脆弱性を含んでいないことが確認された製品
Cisco PVC300 Pan Tilt光学ズームカメラおよびCisco Small Businessカメラは、この脆弱性の影響を受けません。
他のシスコ製カメラや製品において、この脆弱性の影響を受けるものは現在確認されていません。
詳細
Cisco Small Businessビデオサーベイランスカメラは、ネットワークベースの物理セキュリティソリューションのコンポーネントです。監視カメラの詳細については、http://www.cisco.com/cisco/web/solutions/small_business/products/security/small_business_video_surveillance_cameras/index.htmlを参照してください。
Small BusinessビデオサーベイランスカメラはIPネットワークに接続され、監視とデバイス管理の両方にリモートアクセスできます。管理者は、デバイスを管理するユーザの権限を制限し、ユーザがカメラを監視のためだけに使用することを許可できます。
Cisco RVS4000ギガビットセキュリティルータは、最大5人のユーザに高速ネットワークアクセスとIPsec VPN機能を提供します。Cisco RVS4000は、ファイアウォールおよび侵入防御機能も備えています。Cisco RVS4000ギガビットセキュリティルータの詳細については、http://www.cisco.com/en/US/products/ps9928/index.htmlを参照してください。
PVC2300およびWVC2300カメラのユーザは、特別に細工されたURLを使用して、デバイス設定が表示されないように設定された制限をバイパスできます。その後、ユーザはデバイス上のすべてのユーザのパスワードを表示できます。
WVC200およびWVC210カメラのユーザは、この脆弱性を利用してパスワードを表示するためにセットアップ権限を付与されている必要があります。セットアップ権限を設定する機能は、この脆弱性の影響を受ける他のデバイスでは使用できません。
RVS4000ルータの管理ユーザは、他の管理ユーザのパスワードを表示できる場合があります。
この脆弱性は、Cisco Bug ID CSCte64726(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-0593が割り当てられています。
回避策
RVS4000、PVC2300、およびWVC2300カメラには回避策はありません。
WVC200およびWVC210カメラで、信頼できるユーザのみにセットアップ権限が与えられていることを確認します。
修正済みソフトウェア
管理者は、デバイスのユーザインターフェイスの右上にある[バージョン情報]タブをクリックして、カメラで実行されているソフトウェアのバージョンを確認できます。ソフトウェアバージョン情報は、「System Status」ページの「Status」タブで確認できます。
最新のカメラソフトウェアは、https://sec.cloudapps.cisco.com/support/downloads/go/Redirect.x?mdfid=282414029(登録ユーザ専用)からダウンロードできます。
RVS4000のソフトウェアバージョンは、ユーザのログイン後に表示されるルータのメインページに表示されます。
最新のRVS4000ソフトウェアは、https://sec.cloudapps.cisco.com/support/downloads/pub/Redirect.x?mdfid=282413304(登録ユーザ専用)からダウンロードできます。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。不明な点については、Cisco Small Business Support Centerまたは契約したメンテナンスプロバイダーにお問い合わせください。
製品 |
最初の修正済みバージョン |
---|---|
PVC2300 |
1.1.2.6 |
WVC200 |
1.2.2.0 |
WVC210 |
1.1.0.15 |
WVC2300 |
1.1.2.6 |
RVS4000 |
1.3.2.0 |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
シスコは、Eljakim Information Technology bvのEljakim Schrijvers氏に対し、この脆弱性を報告いただき、また情報公開にご協力いただいたことに感謝いたします。
URL
改訂履歴
リビジョン 1.1 |
2010年5月17日 |
WVC200およびWVC210のソフトウェアテーブルの最初の修正バージョンを更新。「不正利用と公表」セクションにコンテンツを追加。 |
リビジョン 1.0 |
2010年4月21日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。