High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、次の脆弱性の影響を受けます。
-
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性
-
Skinny Client Control Protocol(SCCP)インスペクションに関するDoS脆弱性
-
Routing Information Protocol(RIP)のDoS脆弱性
-
不正なファイルシステムアクセスの脆弱性
これらの脆弱性は独立しています。ある脆弱性の影響を受けるリリースが、必ずしもその他の脆弱性の影響を受けるとは限りません。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110223-asa で公開されています。
注:Cisco Firewall Services Module(FWSM)は、これらの脆弱性の1つの影響を受けます。Cisco FWSMに影響を与える脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110223-fwsmで確認できます。
該当製品
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスには、複数の脆弱性が存在します。影響を受けるCisco ASAソフトウェアのバージョンは、脆弱性によって異なります。
脆弱性のある製品
個々のバージョン情報については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性
パケットバッファ枯渇の脆弱性は、セキュリティアプライアンスがトランスペアレントファイアウォールモードで動作するように設定されている場合、Cisco ASAソフトウェアの複数のバージョンに影響を与えます。設定にコマンドfirewall transparentが存在する場合、アプライアンスでトランスペアレントファイアウォールモードが有効になります。デフォルトのファイアウォールモードはルーテッドで、トランスペアレントではありません。show firewallコマンドを使用して、ファイアウォールの動作モードを確認することもできます。
ciscoasa# show firewall Firewall mode: Transparent
SCCPインスペクションに関するDoS脆弱性
サービス拒否の脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSCCPインスペクション機能に影響します。
管理者は、show service-policy | include skinnyコマンドを使用して、次の例に示すような出力が返されることを確認します。
ciscoasa# show service-policy | include skinny Inspect: skinny, packet 0, drop 0, reset-drop 0
または、SCCPインスペクションが有効になっているデバイスの設定は次のようになります。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect skinny ... ! service-policy global_policy global
注:サービスポリシーは、前の例に示すように、グローバルではなく特定のインターフェイスに適用することもできます。
SCCPインスペクションはデフォルトで有効になっています。
RIPのDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのRIP実装で、RIPとCisco Phone Proxy機能の両方が同じデバイスで有効になっている場合、サービス拒否の脆弱性が影響を与えます。次の例は、影響を受ける設定を示しています(Cisco ASAソフトウェアバージョン8.0および8.1)。
router rip ... ! phone-proxy <instance name> media-termination address <IP address> ... <Rest of phone proxy feature configuration>
または(Cisco ASAソフトウェアバージョン8.2以降):
router rip ... ! media-termination <instance name> address <IP address> ! <Rest of phone proxy feature configuration>
セキュリティアプライアンスは、RIPメッセージ(router rip)を処理していて、Cisco Phone Proxy機能にグローバルなメディアターミネーションアドレスが設定されている場合(前の例を参照)に脆弱です。Cisco ASAソフトウェアバージョン8.0および8.1では、グローバルメディアターミネーションアドレスのみが許可されることに注意してください。ただし、Cisco ASAソフトウェアバージョン8.2以降では、メディアターミネーションアドレスをインターフェイスに関連付けることができます。メディアターミネーション設定モードでaddress <IP address> interface <interface name>コマンドを発行することによって実行されるこの設定は影響を受けません。
デフォルトでは、RIPもCisco Phone Proxy機能も有効になっていません。
不正なファイルシステムアクセスの脆弱性
不正なファイルシステムアクセスの脆弱性は、セキュリティアプライアンスがローカル認証局(CA)として設定されている場合にCisco ASA 5500シリーズ適応型セキュリティアプライアンスに影響を与えます。該当する設定は、次の最小限のコマンドで構成されています。
crypto ca trustpoint <trustpoint name> keypair <keypair name> crl configure crypto ca server crypto ca certificate chain <trustpoint name> certificate ca 01 ... ! http server enable
ローカルCAサーバは、デフォルトでは有効になっていません。
Cisco PIX 500シリーズセキュリティアプライアンスの脆弱性ステータス
Cisco PIX 500シリーズセキュリティアプライアンスは、トランスペアレントファイアウォールパケットバッファ枯渇の脆弱性およびSCCPインスペクションに関するDoS脆弱性の影響を受けます。
Cisco PIX 500シリーズセキュリティアプライアンスは、2009年7月28日にソフトウェアメンテナンスリリースのマイルストーンが終了しているため、これ以上のソフトウェアリリースは提供されません。Cisco PIX 500シリーズセキュリティアプライアンスをご使用のお客様には、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスに移行するか、このアドバイザリの「回避策」セクションに記載されている適用可能な回避策を実装することを推奨いたします。修正済みソフトウェアは、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスでのみ使用できます。詳細については、http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps5709/ps2030/end_of_life_notice_cisco_pix_525_sec_app.htmlでサポート終了のお知らせを参照してください。
ソフトウェアバージョンの判別方法
脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを知るには、show version コマンドを発行します。次の例は、ソフトウェアバージョン8.3(1)を実行しているCisco ASA 5500シリーズ適応型セキュリティアプライアンスを示しています。
ASA#show version | include Version Cisco Adaptive Security Appliance Software Version 8.3(1) Device Manager Version 6.3(1)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
脆弱性を含んでいないことが確認された製品
Cisco PIX 500シリーズセキュリティアプライアンスおよびCisco Firewall Services Moduleを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、セキュリティとVPNサービスを提供するモジュラプラットフォームです。ファイアウォール、侵入防御システム(IPS)、Anti-X、および仮想プライベートネットワーク(VPN)サービスを提供します。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、次の脆弱性の影響を受けます。
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性
トランスペアレントファイアウォールモードに設定されているCisco ASA 5500シリーズ適応型セキュリティアプライアンスは、パケットバッファ枯渇の脆弱性の影響を受けます。この脆弱性により、すべてのパケットバッファが使い果たされると、アプライアンスはトラフィックの転送を停止する可能性があります。セキュリティアプライアンスがIPv6トラフィックを受信し、IPv6動作用に設定されていない場合、使用可能なパケットバッファの数が減少する可能性があります。IPv6中継トラフィックは問題を引き起こしません。
管理者は、show blocksコマンドを発行し、出力に使用可能な1,550バイトブロックの数を調べることで、パケットバッファの使用率をチェックできます。ブロック数がゼロ(CNTカラムに0で示されている)の場合は、セキュリティアプライアンスでこの問題が発生している可能性があります。例:
ciscoasa# show blocks SIZE MAX LOW CNT 0 400 360 400 4 200 199 199 80 400 358 400 256 1412 1381 1412 1550 6274 0 0 ...
この脆弱性は、Cisco Bug ID CSCtj04707(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-0393が割り当てられています。
SCCPインスペクションに関するDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、不正なSCCPメッセージを処理する際にアプライアンスのリロードを引き起こす可能性のある脆弱性の影響を受けます。アプライアンスは、SCCPインスペクションが有効になっている場合にのみ脆弱です。
この脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。
この脆弱性は、Cisco Bug ID CSCtg69457(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-0394が割り当てられています。
RIPのDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、有効なRIPアップデートを処理する際にアプライアンスのリロードを引き起こす可能性のある脆弱性の影響を受けます。アプライアンスは、RIPとCisco Phone Proxy機能の両方が有効になっている場合にのみ脆弱です。
注:影響を受ける設定では、グローバルメディアターミネーションアドレスが設定されている必要があります。これは、Cisco ASAソフトウェアバージョン8.0および8.1で唯一可能な設定オプションです。ただし、Cisco ASAソフトウェアバージョン8.2以降では、メディアターミネーションアドレスをインターフェイスに関連付けることができます。この設定は脆弱性の影響を受けません。
この脆弱性は、Cisco Bug ID CSCtg66583(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-0395が割り当てられています。
不正なファイルシステムアクセスの脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、セキュリティアプライアンスがローカルCAサーバとして設定されている場合に、不正なユーザがファイルシステム(flash:、disk0:、disk1:など、system:は除く)にアクセスできる可能性のある脆弱性の影響を受けます。認証は必要ありません。ファイルシステムには、バックアップデバイスの設定(パスワードや共有秘密が含まれている場合があります)、Cisco ASAソフトウェアイメージ、デジタル証明書などの機密情報が含まれている可能性があります。
この脆弱性は、Cisco Bug ID CSCtk12352(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-0396が割り当てられています。
回避策
このCisco Security Advisoryでは、複数の個別の脆弱性について説明しています。これらの脆弱性およびそれぞれ対応策は互いから独立しています。
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性
この脆弱性に対する回避策はありません。
SCCPインスペクションに関するDoS脆弱性
SCCPインスペクションが不要な場合、管理者はこの脆弱性を無効にすることで緩和できます。管理者は、ポリシーマップ設定のクラス設定サブモードでno inspect skinnyコマンドを発行することにより、SCCPインスペクションを無効にすることができます。
RIPのDoS脆弱性
Cisco ASAソフトウェアバージョン8.0および8.1には回避策がありません。Cisco ASAソフトウェアバージョン8.2以降では、管理者は特定のインターフェイスに結び付けられるターミネーションアドレスを指定することで、グローバル以外のメディアターミネーションアドレスを設定できます。例:
router rip ... ! media-termination <instance name> address <IP address> interface <interface name> ! <Rest of phone proxy feature configuration>
不正なファイルシステムアクセスの脆弱性
この脆弱性に対する回避策はありません。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
脆弱性 |
メジャー リリース |
First Fixed Release(修正された最初のリリース) |
---|---|---|
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性(CSCtj04707) |
7.0 |
7.0(8.12)(2011年2月下旬に入手可能) |
7.1 |
脆弱性あり、7.2(5.2)への移行が必要 |
|
7.2 |
7.2(5.2) |
|
8.0 |
8.0(5.21) |
|
8.1 |
8.1(2.49)(2011年3月上旬に提供開始) |
|
8.2 |
8.2(3.6) |
|
8.3 |
8.3(2.7) |
|
8.4 |
脆弱性なし |
|
SCCPインスペクションに関するDoS脆弱性(CSCtg69457) |
7.0 |
7.0(8.11) |
7.1 |
脆弱性あり、7.2(5.1)への移行が必要 |
|
7.2 |
7.2(5.1) |
|
8.0 |
8.0(5.19) |
|
8.1 |
8.1(2.47) |
|
8.2 |
8.2(2.19) |
|
8.3 |
8.3(1.8) |
|
8.4 |
脆弱性なし |
|
RIPのDoS脆弱性(CSCtg66583) |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
|
7.2 |
脆弱性なし |
|
8.0 |
8.0(5.20) |
|
8.1 |
8.1(2.48) |
|
8.2 |
8.2(3) |
|
8.3 |
8.3(2.1) |
|
8.4 |
脆弱性なし |
|
不正なファイルシステムアクセスの脆弱性(CSCtk12352) |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
|
7.2 |
脆弱性なし |
|
8.0 |
8.0(5.23) |
|
8.1 |
8.1(2.49)(2011年3月上旬に提供開始) |
|
8.2 |
8.2(4.1) |
|
8.3 |
8.3(2.13) |
|
8.4 |
脆弱性なし |
推奨リリース
次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。
メジャー リリース |
推奨リリース |
---|---|
7.0 |
7.0(8.12)(2011年2月下旬に入手可能) |
7.1 |
7.2(5.2)に移行 |
7.2 |
7.2(5.2) |
8.0 |
8.0(5.23) |
8.1 |
8.1(2.49)(2011年3月上旬に提供開始) |
8.2 |
8.2(4.1) |
8.3 |
8.3(2.13) |
8.4 |
8.4(1) |
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Cisco.comのSoftware Center(http://www.cisco.com/cisco/software/navigator.html)からダウンロードできます。Products > Security > Firewall > Firewall Appliances > Cisco ASA 5500 Series Adaptive Security Appliances > <your Cisco ASA model> > Adaptive Security Appliance (ASA) Softwareの順に選択してください。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
トランスペアレントファイアウォールのパケットバッファ枯渇の脆弱性、SCCPインスペクションに関するDoS脆弱性、およびRIPに関するDoS脆弱性は、内部テストによって発見されました。
不正なファイルシステムアクセスの脆弱性は、カスタマーサポートケースの解決中に発見されました。
URL
改訂履歴
リビジョン 1.0 |
2011年2月23日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。