Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
- DHCPメモリ割り当てのDoS脆弱性
- SSL VPN認証のDoS脆弱性
- SIPインスペクションメディアアップデートのDoS脆弱性
- DCERPCインスペクションバッファオーバーフローの脆弱性
- DCERPCインスペクションに関するDoS脆弱性2件
これらの脆弱性は互いに独立しています。いずれかの脆弱性の影響を受けるリリースが、他の脆弱性の影響を受けることはありません。
これらの脆弱性のいずれかが不正利用されると、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があります。DCERPCインスペクションバッファオーバーフローの脆弱性が不正利用されると、さらにスタックオーバーフローが引き起こされ、任意のコマンドが実行される可能性があります。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121010-asa
注:Cisco Catalyst 6500およびCisco 7600シリーズ(FWSM)用のCisco Firewall Services Module(FWSM)は、上記の脆弱性の一部の影響を受ける可能性があります。
Cisco FWSMに影響する脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは次のリンクに掲載されています。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121010-fwsm
Cisco ASA 1000VクラウドファイアウォールおよびCisco ASA-CX Context-Aware Securityは、これらの脆弱性の影響を受けません。
該当製品
Cisco PIXセキュリティアプライアンスは、このセキュリティアドバイザリに記載されている一部の脆弱性の影響を受ける可能性があります。Cisco PIXはソフトウェアメンテナンスが終了しています。Cisco PIXセキュリティアプライアンスをご使用のお客様には、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスへの移行をお勧めします。影響を受けるバージョンの詳細については、このセキュリティアドバイザリの「脆弱性のある製品」セクションのCisco PIXセキュリティアプライアンスの専用セクションを参照してください。
脆弱性のある製品
DHCPメモリ割り当てのDoS脆弱性
この脆弱性は、Cisco ASAソフトウェアがDHCP要求を処理するときに発生します。DHCPリレーおよびDHCPサーバ機能は、DHCP要求パケットプロセスをトリガーします。どちらかの機能が有効になっている場合、Cisco ASAソフトウェアに脆弱性が存在する可能性があります。
Cisco ASAソフトウェアでDHCPサーバ機能が有効になっているかどうかを確認するには、show dhcpd stateコマンドを使用して、少なくとも1つのインターフェイスがDHCPサーバ用に設定されていることを確認します。次の例は、内部インターフェイスでDHCPサーバが有効になっているCisco ASAソフトウェアを示しています
ciscoasa# show dhcpd state Context Configured as DHCP Server Interface inside, Configured for DHCP SERVER
Cisco ASAソフトウェアでDHCPリレー機能が有効になっているかどうかを確認するには、show dhcprelay stateコマンドを使用して、DHCPリレーがアクティブであることを確認します。次の例は、DHCPリレーが有効になっているCisco ASAソフトウェアを示しています。
ciscoasa# show dhcprelay state
Context Configured as DHCP Relay
Interface outside, Configured for DHCP RELAY SERVER
Interface inside, Configured for DHCP RELAY
注:デフォルトでは、DHCPサーバはCisco ASA 5505の内部インターフェイスと、他のすべてのCisco ASA 5500シリーズ適応型セキュリティアプライアンスの管理インターフェイスで有効になっています。Cisco Catalyst 6500シリーズASAサービスモジュールでは、DHCPサーバはデフォルトで無効になっています。
DHCPリレー機能は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco Catalyst 6500シリーズASAサービスモジュールプラットフォームではデフォルトで有効になっていません。
SSL VPN認証のDoS脆弱性
この脆弱性は、クライアントレスSSL VPNまたはAnyConnect SSL VPN用に設定されたCisco ASAソフトウェアに影響を与える可能性があります。IPsec VPNサーバ、IPsec/L2TP VPNサーバ、またはIKEv2 AnyConnect VPNサーバとして設定されたCisco ASAソフトウェアは影響を受けません。この脆弱性は巧妙に細工された認証チャレンジ – レスポンスを受信したときにトリガーされるため、Cisco ASAソフトウェアは、チャレンジオプションをサポートしないAAAプロトコルを使用するように設定されているか、チャレンジオプションが無効になっている場合は影響を受けません。
この脆弱性に該当するには、Cisco ASAソフトウェアでSSL VPNが有効になっており、AAAチャレンジオプションが有効になっているAAAプロトコルを使用してリモートAAAサーバに認証するようにトンネルグループが設定されている必要があります。
現在、次のAAAセットアップはchallengeオプションを有効にして設定されているため、脆弱性が存在すると考えられます。
- ネイティブRSA SecurID(SDIとも呼ばれる):SecureIDサーバがユーザからのチャレンジ応答を必要とする場合に脆弱です。
- RADIUSおよびTACACS+認証のチャレンジ – AAAサーバが、認証を行うユーザにチャレンジ要求を送信できるトークンベースの認証システムを使用している場合、これらは脆弱です。
- RADIUSまたはLDAPを介したActive Directoryパスワード管理。この場合、Cisco ASAソフトウェアは、Active Directoryによる認証の前にユーザパスワードの変更を容易にします。
Cisco ASAソフトウェアでSSL VPNが有効になっているかどうかを確認するには、show running-config webvpnコマンドを使用して、少なくとも1つのインターフェイスでSSL VPNが有効になっていることを確認します。次の例は、outsideインターフェイスでSSL VPNが有効になっているCisco ASAソフトウェアを示しています。
ciscoasa# show running-config webvpn webvpn enable outside
Cisco ASAソフトウェアでトンネルグループがリモートAAAサーバ用に設定されているかどうかを確認するには、show running-config tunnel-group <tg_name> general-attributesコマンドを使用して、authentication-server-groupがリモートAAAサーバに対して認証されるように設定されていることを確認します。次の例は、トンネルグループWebVPNが、RSAというタグが付いたリモートAAAサーバに対して認証を行うように設定されているCisco ASAソフトウェアを示しています。
ciscoasa#show running-config tunnel-group WebVPN general-attributes tunnel-group WebVPN general-attributes authentication-server-group RSA
特定のAAAサーバにどのAAAプロトコルが使用されているかを確認するには、show aaa-server <server-tag>コマンドを使用します。使用中のAAAプロトコルは、Server Groupの下に表示されます。次の例は、AAAプロトコルとしてRSA SecurID(SDI)を使用している、タグRSAが付いたAAAサーバを示しています。
ciscoasa# show aaa-server RSA
Server Group: RSA
Server Protocol: sdi
注:SSL VPNはデフォルトでは有効になっていません。トンネルグループのデフォルトのAAA設定はLOCALであり、この脆弱性の影響を受けません。
SIPインスペクションメディアアップデートのDoS脆弱性
Cisco ASAソフトウェアは、Session Initiation Protocol(SIP)インスペクションが有効な場合、この脆弱性の影響を受ける可能性があります。
SIPインスペクションが有効になっているかどうかを確認するには、show service-policy inspect sipコマンドを使用します。次の例は、SIPインスペクションが有効になっているCisco ASAソフトウェアを示しています。
ciscoasa# show service-policy | include sip
Inspect: sip , packet 67, drop 0, reset-drop 0
注:SIPインスペクション機能はデフォルトで有効になっています。
DCERPCインスペクションバッファオーバーフローの脆弱性およびDCERPCインスペクションにおけるDoS脆弱性
Cisco ASAソフトウェアは、DCERPCインスペクションが有効になっている場合、これらの脆弱性の影響を受けます。
DCERPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include dcerpcコマンドを使用します。次の例は、DCERPCインスペクションが有効になっているCisco ASAソフトウェアを示しています。
ciscoasa# show service-policy | include dcerpc
Inspect: dcerpc, packet 0, drop 0, reset-drop 0
注:DCERPCインスペクションはデフォルトでは有効になっていません。
実行ソフトウェア バージョンの判別
脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを知るには、show version コマンドを発行します。次の例は、ソフトウェアバージョン8.4(1)を実行しているCisco ASA 5500シリーズ適応型セキュリティアプライアンスを示しています。
ciscoasa#show version | include Version
Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(1)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
Cisco PIXセキュリティアプライアンスソフトウェアに関する情報
Cisco PIXセキュリティアプライアンスソフトウェアのすべてのバージョンが、DHCPメモリ割り当てのサービス妨害(DoS)の脆弱性の影響を受けます。Cisco PIXセキュリティアプライアンスソフトウェアは、このセキュリティアドバイザリに記載されているその他の脆弱性の影響を受けません。
脆弱性を含んでいないことが確認された製品
Cisco FWSMを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
DHCPメモリ割り当てのDoS脆弱性
DHCP とは、サブネット マスク付きの IP アドレス、デフォルト ゲートウェイ、DNS サーバ、WINS サーバの IP アドレスなどの設定パラメータを自動的にホストに付与するためのプロトコルです。
Cisco ASAソフトウェアは、DHCPサーバまたはDHCPクライアントとして動作できます。サーバとして動作する場合、Cisco ASAソフトウェアはネットワーク設定パラメータを直接DHCPクライアントに提供します。
Dynamic Host Configuration Protocol(DHCP)サーバの機能の実装には、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる脆弱性が存在します。この脆弱性は、巧妙に細工されたDHCPパケットを受信したときに、内部DHCPデータ構造にメモリを割り当てられないことに起因します。攻撃者は、巧妙に細工された一連のDHCPパケットを該当システムに送信することで、この脆弱性を不正利用する可能性があります
注:この脆弱性は、通過トラフィックと該当デバイス宛てのトラフィックの両方によって引き起こされる可能性があります。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCtw84068(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-4643が割り当てられています
SSL VPN認証のDoS脆弱性
Cisco ASAソフトウェアには2種類のSSL VPNが含まれており、企業リソースへのリモートアクセスに使用するテクノロジーです。
- クライアントレスSSL VPNは、WebブラウザとJavaコンポーネントを介して、電子メールなどのWebアプリケーションや企業ポータルへのアクセスを提供します。クライアントソフトウェアは必要ありません。
- AnyConnect SSL VPNクライアント。
リモートのSSL VPN(クライアントレスおよびAnyConnect)機能の認証、許可、およびアカウンティング(AAA)コードの実装には脆弱性があり、認証されていないリモートの攻撃者によって該当システムのリロードが引き起こされる可能性があります。この脆弱性は、認証プロセスを完了するためにAAAチャレンジレスポンスが必要な場合に、巧妙に細工された認証レスポンスの検証が不十分であることに起因します。攻撃者は、巧妙に細工された認証チャレンジ応答を使用してSSL VPNが設定されたASAで認証を試みることにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、クライアントレスSSL VPNまたはAnyConnect SSL VPN用に設定されたCisco ASAソフトウェアに影響を与えます。IPsec VPNサーバ、IPSEC/L2TP VPNサーバ、またはIKEv2 AnyConnectサーバとして設定されたCisco ASAソフトウェアは影響を受けません。
注:この脆弱性は、該当デバイス宛てのトラフィックによってのみ不正利用が可能です。この脆弱性は、ルーテッドモードおよびシングルコンテキストモードで設定されたCisco ASAソフトウェアにのみ影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。この脆弱性は、Cisco Bug ID CSCtz04566(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-4659が割り当てられています
SIPインスペクションメディアアップデートのDoS脆弱性
インターネット技術特別調査委員会(IETF)によって定義されたセッション開始プロトコル(SIP)は、コール処理セッション、特に二者間の音声会議を可能にします。SIPは、コールシグナリングのためにSession Description Protocol(SDP)と連携します。SDPはメディアストリームのポートを指定します。Cisco ASAソフトウェアは、専用のSIPインスペクションエンジンを介したメディアストリーム用のポートの動的割り当てをサポートしています。
Cisco ASAソフトウェアのSIPインスペクションエンジンコードには脆弱性が存在するため、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があります。この脆弱性は、SIPメディアアップデートパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工されたSIPパケットを送信することにより、この脆弱性を不正利用する可能性があります。この脆弱性を引き起こすパケットは、該当システムによって検査される必要がある確立されたSIP検査セッションの一部である必要があります。
注:この脆弱性は、通過トラフィックによってのみ不正利用が可能です。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCtr63728(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-4660が割り当てられています
DCERPCインスペクションバッファオーバーフローの脆弱性
DCERPCは、Microsoftの分散クライアントおよびサーバアプリケーションで広く使用されているプロトコルで、ソフトウェアクライアントがサーバ上のプログラムをリモートで実行できるようにします。
DCERPCインスペクションエンジンには、認証されていないリモートの攻撃者が該当システムのリロードを引き起こしたり、スタックをオーバーフローして任意のコマンドを実行したりすることを可能にする脆弱性が存在します。この脆弱性は、有効なDCERPCセッション内でのDCERPCパケットの検証が不十分であることに起因します。攻撃者は、巧妙に細工されたDCERPCパケットを送信し、該当システムによる検査を受けることで、この脆弱性を不正利用する可能性があります。
注:この脆弱性は、通過トラフィックによってのみ不正利用が可能です。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCtr21359(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-4661が割り当てられています
DCERPCインスペクションに関するDoS脆弱性
DCERPCインスペクションエンジンには、認証されていないリモートの攻撃者によって該当システムのリロードが引き起こされる可能性のある脆弱性が2つ存在します。この脆弱性は、有効なDCERPCセッション内でのDCERPCパケットの検証が不十分であることに起因します。攻撃者は、巧妙に細工されたDCERPCパケットを送信し、該当システムによる検査を受けることで、この脆弱性を不正利用する可能性があります。
注:これらの脆弱性は、通過トラフィックによってのみ不正利用が可能です。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。これらの脆弱性は、IPv4およびIPv6トラフィックによって引き起こされる可能性があります。
これらの脆弱性は、Cisco Bug ID CSCtr21376(登録ユーザ専用)およびCSCtr21346(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-4662およびCVE-2012-4663が3が割されています
回避策
次のセクションでは、このセキュリティアドバイザリに記載されている各脆弱性に対する回避策について説明しています(可能な場合)。
DHCPメモリ割り当てのDoS脆弱性
DHCPサーバおよびDHCPリレー機能を無効にする以外に、この脆弱性を軽減する回避策はありません。
SSL VPN認証のDoS脆弱性
この脆弱性を軽減する回避策はありません。
SIPインスペクションメディアアップデートのDoS脆弱性
SIPインスペクションを無効にすることで、この脆弱性を軽減できます。
次のコマンドを使用すると、デフォルトで設定されているSIPインスペクションが無効になります。
ciscoasa(config)# policy-map global_policy ciscoasa(config-pmap)# class inspection_default ciscoasa(config-pmap-c)# no inspect sip
DCERPCインスペクションバッファオーバーフローの脆弱性およびDCERPCインスペクションにおけるDoS脆弱性
DCERPCインスペクションを無効にする以外に、これらの脆弱性を軽減する回避策はありません。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
DHCPメモリ割り当てのDoS脆弱性
脆弱性 | メジャー リリース |
First Fixed Release(修正された最初のリリース) |
DHCPメモリ割り当てのDoS脆弱性 – CSCtw84068 |
7.0 | 7.2(5.8) |
7.1 | 7.2(5.8) |
|
7.2 | 7.2(5.8) |
|
8.0 | 8.0(5.28) |
|
8.1 | 8.1(2.56) |
|
8.2 | 8.2(5.27) | |
8.3 | 8.3(2.31) | |
8.4 | 8.4(3.10) | |
8.5 | 8.5(1.9) |
|
8.6 | 8.6(1.5) |
SSL VPN認証のDoS脆弱性
脆弱性 | メジャー リリース |
First Fixed Release(修正された最初のリリース) |
SSL VPN認証のDoS脆弱性 – CSCtz04566 |
7.0 | Not affected |
7.1 | Not affected |
|
7.2 | Not affected |
|
8.0 | Not affected |
|
8.1 | Not affected |
|
8.2 | 8.2(5.30) | |
8.3 | 8.3(2.34) |
|
8.4 | Not affected | |
8.5 | Not affected | |
8.6 | Not affected |
SIPインスペクションメディアアップデートのDoS脆弱性
脆弱性 | メジャー リリース |
First Fixed Release(修正された最初のリリース) |
SIPインスペクションメディアアップデートのDoS脆弱性 – CSCtr63728 |
7.0 | Not affected |
7.1 | Not affected |
|
7.2 | Not affected |
|
8.0 | Not affected |
|
8.1 | Not affected | |
8.2 | 8.2(5.17) | |
8.3 | 8.3(2.28) | |
8.4 | 8.4(2.13) | |
8.5 | 8.5(1.4) | |
8.6 | 8.6(1.5) |
DCERPCインスペクションバッファオーバーフローの脆弱性
脆弱性 | メジャー リリース |
First Fixed Release(修正された最初のリリース) |
DCERPCインスペクションバッファオーバーフローの脆弱性 – CSCtr21359
|
7.0 | Not affected |
7.1 | Not affected |
|
7.2 | Not affected | |
8.0 | Not affected | |
8.1 | Not affected | |
8.2 | Not affected | |
8.3 | 8.3(2.34) | |
8.4 | 8.4(4.4) | |
8.5 | 8.5(1.13) | |
8.6 | 8.6(1.3) |
DCERPCインスペクションに関するDoS脆弱性
脆弱性 | メジャー リリース |
First Fixed Release(修正された最初のリリース) |
DCERPCインスペクションに関するDoS脆弱性 – CSCtr21376およびCSCtr21346 |
7.0 | Not affected |
7.1 | Not affected |
|
7.2 | Not affected | |
8.0 | Not affected | |
8.1 | Not affected | |
8.2 | Not affected | |
8.3 | 8.3(2.25) | |
8.4 | 8.4(2.5) | |
8.5 | 8.5(1.13) | |
8.6 | Not affected |
推奨リリース
次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。
メジャー リリース |
推奨リリース |
7.0 | 7.2(5.8) |
7.1 | 7.2(5.8) |
7.2 | 7.2(5.8) |
8.0 | 8.0(5.28) |
8.1 | 8.1(2.56) |
8.2 | 8.2(5.33) |
8.3 | 8.3(2.34) |
8.4 | 8.4(4.5) |
8.5 | 8.5(1.14) |
8.6 | 8.6(1.5) |
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Cisco.comのSoftware Centerからダウンロードできます。http://www.cisco.com/cisco/software/navigator.htmlCisco ASA 5500シリーズ適応型セキュリティアプライアンスの場合は、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 5500シリーズ適応型セキュリティアプライアンス> <Cisco ASAモデル> >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco Catalyst 6500シリーズASAサービスモジュールの場合は、Products > Cisco Interfaces and Modules > Cisco Services Modules >Cisco Catalyst 6500 Series ASA Services Module > ASA Services Module (ASASM) Softwareの順に選択します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
このセキュリティアドバイザリに記載されている脆弱性はすべて、社内テストで発見されたか、カスタマーサポートケースの解決中に発見されたものです。
URL
改訂履歴
リビジョン 1.0 | 2012年10月10日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。