CiscoWorks Common Servicesにおける任意のコマンド実行の脆弱性

ダウンロード オプション

  • PDF     (366.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (85.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (78.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2011 年 10 月 19 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Critical

Critical

アドバイザリーID : cisco-sa-20111019-cs
初公開日 : 2011-10-19 16:00
バージョン 1.0 : Final
CVSSスコア : 9.0
回避策 : No Workarounds available
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

CiscoWorks Common Services for Microsoft Windowsには、認証されたリモートの攻撃者がシステム管理者の特権を使用して該当システムで任意のコマンドを実行できる可能性のある脆弱性が存在します。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。

この脆弱性を軽減する回避策はありません。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-cs で公開されています。

注:2011年10月18日以降、シスコはCisco PSIRTが公開する最新のCisco Security Advisories and Responsesのリストを移動しました。新しい場所はhttps://sec.cloudapps.cisco.com/security/center/publicationListingです。また、Cisco Security(SIO)ポータルのCisco Products and Servicesメニューからこのページに移動することもできます。この移行に伴い、新しいCisco Security Advisories and Responsesが新しい場所に公開されます。URLは変更されていますが、セキュリティドキュメントの内容と脆弱性ポリシーは影響を受けません。シスコは、公開されているセキュリティ脆弱性ポリシーに従って、セキュリティ脆弱性の開示を継続します。

該当製品

脆弱性のある製品

この脆弱性は、Microsoft Windows上で動作するCiscoWorks Common Servicesベースの製品のすべてのバージョンに影響します

Common Servicesバージョン4.1以降はこの脆弱性の影響を受けません。

デフォルトのCommon Servicesがインストールされている次のCiscoWorks製品は、基盤となるCommon Servicesのバージョンが原因で、この脆弱性の影響を受けます。

  • CiscoWorks LAN Management Solution

    LAN Management Solutionのバージョン Common Servicesバージョン
    Microsoft Windowsでの3.2より前 各種
    Microsoft Windows上の3.2 3.3
    3.2.1(Microsoft Windows上) 3.3.1
    Microsoft Windows上の4.0 4.0
    Microsoft Windows上の4.0.1 4.0.1

    注:3.2より前のバージョンのCiscoWorks LAN Management Solutionは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCiscoWorks LAN Management Solutionへのアップグレードについては、シスコのサポートチームにお問い合わせください。

  • Cisco Security Manager

    Security Managerのバージョン Common Servicesバージョン
    3.2 各種
    3.2、3.2 SP1、3.2 SP2 3.1
    3.2.1、3.2.1 SP1 3.1.1
    3.2.2、3.2.2 SP1、3.2.2 SP2、3.2.2 SP3、3.2.2 SP4 3.2
    3.3、3.3 SP1、3.3 SP2 3.2
    3.3.1、3.3.1 SP1、3.3.1 SP2、3.3.1 SP3 3.2
    4.0、4.0 SP1 3.3
    4.0.1、4.0.1 SP1 3.3
    4.1 3.3

    注:バージョン3.2より前のCisco Security Managerは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCisco Security Managerへのアップグレードについては、シスコのサポートチームにお問い合わせください。

  • Cisco Unified Operations Manager

    Unified Operations Managerのバージョン Common Servicesバージョン
    2.3 より前 各種
    2.3 3.2
    8.0 4.0
    8.5 4.0

    注:2.3より前のバージョンのCisco Unified Operations Managerは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCisco Unified Operations Managerへのアップグレードについては、シスコのサポートチームにお問い合わせください。

  • Cisco Unified Service Monitor

    Unified Operations Monitorのバージョン Common Servicesバージョン
    2.2 より前 各種
    2.2 3.2
    2.3 3.2
    8.0 4.0
    8.5 4.0

    注:バージョン2.2より前のCisco Unified Service Monitorは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCisco Unified Service Monitorへのアップグレードについては、シスコサポートチームにお問い合わせください。

  • CiscoWorks Quality of Serviceポリシーマネージャ

    Quality of Service Policy Managerのバージョン Common Servicesバージョン
    Microsoft Windowsでは4.1より前 各種
    Microsoft Windowsでは4.1.1、4.1.2、4.1.3、4.1.4、4.1.5、4.1.6 3.2

    注:4.1より前のバージョンのCiscoWorks Quality of Service(QoS)Policy Managerは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCiscoWorks QoS Policy Managerへのアップグレードについては、シスコのサポートチームにお問い合わせください。

  • CiscoWorks Voice Manager

    Voice Managerのバージョン Common Servicesバージョン
    Microsoft Windowsでの3.0より前 各種
    Microsoft Windows上の3.0 3.0.2
    Microsoft Windows上の3.1 3.0.2
    Microsoft Windows上の3.2 3.3

    注: 3.0より前のバージョンのCiscoWorks Voice Managerは、ソフトウェアメンテナンスが終了しています。サポートされているバージョンのCiscoWorks Voice Managerへのアップグレードについては、シスコのサポートチームにお問い合わせください。


    脆弱性を含んでいないことが確認された製品

    Solaris上で動作するCiscoWorks Common Servicesベースの製品のすべてのバージョンは、この脆弱性の影響を受けません。

    CiscoWorks Common Servicesバージョン4.1以降はこの脆弱性の影響を受けません。

    次の製品にも脆弱性は存在しません。

    • Cisco Prime LAN Management Solutionバージョン4.1以降
    • Cisco Security Managerバージョン4.2以降
    • Cisco Unified Operations Manager 8.6以降
    • Cisco Unified Service Monitor 8.6以降
    • Solaris上で動作するCiscoWorks LAN Management Solutionの任意のバージョン
    • Solaris上で動作するCiscoWorks QoS Policy Managerの任意のバージョン
    • Solaris上で動作するCiscoWorks Voice Managerの任意のバージョン

    他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

    詳細

    CiscoWorks Common Servicesは、CiscoWorksソリューションセットのネットワーク管理アプリケーションによって共有される一連の管理サービスです。

    CiscoWorks Common Servicesは、CiscoWorksアプリケーションがデータストレージ、ログイン、ユーザロール定義、アクセス権限、セキュリティプロトコル、およびナビゲーションの共通モデルを共有するための基盤を提供します。すべての管理機能で標準のユーザエクスペリエンスを実現します。また、インストール、データ管理(バックアップ/リストアおよびインポート/エクスポートを含む)、イベントとメッセージの処理、ジョブとプロセスの管理、ソフトウェアの更新など、すべての基本的なシステム・レベルのオペレーションに共通のフレームワークを提供します。

    CiscoWorks Common Services for Microsoft Windowsには、認証されたリモートの攻撃者がシステム管理者の特権を使用して該当システムで任意のコマンドを実行できる可能性のある脆弱性が存在します。

    この脆弱性は、CiscoWorksホームページのコンポーネントにおける入力の検証が不適切なことに起因します。攻撃者は、巧妙に細工されたURLを該当システムに送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はシステム管理者の特権を使用して該当システムで任意のコマンドを実行できる可能性があります。

    この脆弱性は、Microsoft Windows上でのみ実行されているCiscoWorks Common Servicesに影響します。

    この脆弱性は、デフォルトの管理ポート(TCPポート1741または443)で不正利用される可能性があります。

    注:サーバでは、デフォルトの管理ポートを再設定できます。

    この脆弱性は、Common ServicesとCiscoWorks LAN Management Solutionに関するCisco Bug ID CSCtq48990(登録ユーザ専用)、Cisco Security Managerに関するCSCtq63992(登録ユーザ専用)、Cisco Unified Service Monitorに関するCSCtq64011(登録ユーザ専用)として文書化されていますユーザのみ)はCisco Unified Operations Manager用、CSCtr23090(登録ユーザのみ)はCiscoWorks QoS Policy Manager用、CSCtt25535(登録ユーザのみ)はCiscoWorks Voice Manager用。

    この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-3310が割り当てられています。

    回避策

    この脆弱性に対する回避策はありません。

    修正済みソフトウェア

    シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。ソフトウェアアップデートを導入する前に、メンテナンスプロバイダーにご相談いただくか、ソフトウェアのフィーチャセットの互換性およびお客様の環境に固有の既知の問題をご確認ください。

    この脆弱性は、Common Servicesバージョン4.1で解決されています。

    次の表に、影響を受ける各製品とバージョンの修復方法を示します。

    • CiscoWorks LAN Management Solution

      LMSバージョン 修復方法 場所
      3.2 cwcs33-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282641053&flowid=5150
      3.2.1 cwcs331-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282641053&flowid=5150
      4.0 LMS40-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=283434800&flowid=19062
      4.0.1 LMS401-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=283434800&flowid=19062

    • Cisco Security Manager

      CSMバージョン 修復方法 場所
      3.2 SP1、3.2 SP2 3.3.1 SP4へのアップグレード -
      3.2.1、3.2.1 SP1 3.3.1 SP4へのアップグレード -
      3.2.2、3.2.2 SP1、3.2.2 SP2、3.2.2 SP3、3.2.2 SP4 3.3.1 SP4へのアップグレード -
      3.3、3.3 SP1、3.3 SP2 3.3.1 SP4へのアップグレード -
      3.3.1、3.3.1 SP1、3.3.1 SP2、3.3.1 SP3 3.3.1 SP4 http://www.cisco.com/cisco/software/type.html?mdfid=280033778
      4.0、4.0 SP1 4.0.1 SP2へのアップグレード -
      4.0.1、4.0.1 SP1 4.0.1 SP2 http://www.cisco.com/cisco/software/type.html?mdfid=280033778
      4.1 4.1 SP1 http://www.cisco.com/cisco/software/type.html?mdfid=280033778

    • Cisco Unified Operations Manager

      CUOMバージョン 修復方法 場所
      2.2 cwcs32-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282214601&flowid=5149
      2.3 cwcs32-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282214601&flowid=5149
      8.0 CUOM8.0-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/release.html?mdfid=283112898&flowid=20421&softwareid=282790483
      8.5 CUOM8.5-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/release.html?mdfid=283749793&flowid=24321&softwareid=282790483

    • Cisco Unified Service Monitor

      CUSMバージョン 修復方法 場所
      2.2 cwcs32-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282214601&flowid=5149
      2.3 cwcs32-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282214601&flowid=5149
      8.0 CUSM8.0-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/release.html?mdfid=283315738&flowid=20461&softwareid=282773198
      8.5 CUSM8.5-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/release.html?mdfid=283749795&flowid=24323&softwareid=282801893

    • CiscoWorks QoS Policy Manager

      QPMバージョン 修復方法 場所
      4.1.1、4.1.2、4.1.3、4.1.4、4.1.5、4.1.6 cwcs32-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282214601&flowid=5149

    • CiscoWorks Voice Manager

      CWVMバージョン 修復方法 場所
      3.0 および 3.1 3.2にアップグレードし、パッチを適用します。 -
      3.2 cwcs33-win-Oct2011-su1-0.zip http://www.cisco.com/cisco/software/type.html?mdfid=282641053&flowid=5150

    アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

    いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。


    推奨事項

    $propertyAndFields.get("recommendations")

    不正利用事例と公式発表

    Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

    この脆弱性は、Beyond Security社のNoam Rathaus氏によってシスコに報告されました。

    URL

    改訂履歴

    リビジョン 1.0 2011年10月19日 初版リリース

    利用規約

    本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
    本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。