High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
- IKEバージョン1のDoS脆弱性
- 巧妙に細工されたURLにおけるDoS脆弱性
- 巧妙に細工された証明書の検証中のサービス拒否
- DNSインスペクションに関するDoS脆弱性
これらの脆弱性が悪用されると、該当するデバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性の一部に対しては回避策があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130410-asa
注:Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco Firewall Services Module(FWSM)は、上記の脆弱性の一部の影響を受ける可能性があります。Cisco FWSMに影響する脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは次のリンクに掲載されています。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130410-fwsm
該当製品
Cisco PIXセキュリティアプライアンスは、このセキュリティアドバイザリに記載されている一部の脆弱性の影響を受ける可能性があります。Cisco PIXはソフトウェアメンテナンスリリース終了となっています。Cisco PIXセキュリティアプライアンスをご使用のお客様には、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスへの移行をお勧めします。
脆弱性のある製品
IKEバージョン1のDoS脆弱性
IKEバージョン1が有効になっている場合、Cisco ASAソフトウェアを実行しているデバイスはこの脆弱性の影響を受けます。IKEバージョン1は、コマンドcrypto isakmp enable <interface name>(Cisco ASAソフトウェア8.3.x以前)またはcrypto ikev1 enable <interface name>(Cisco ASAソフトウェア8.4.x以降)が設定されている場合に有効になります。IKEバージョン1はデフォルトでは有効になっていません。
巧妙に細工されたURLにおけるDoS脆弱性
Cisco ASAソフトウェアを実行しているデバイスが、ネットワークアクセス制御に認証、許可、アカウンティング(AAA)を使用しており、ネットワークユーザの認証にHTTP(S)リスニングポートが有効になっている場合、この脆弱性の影響を受けます。aaa authentication listenerコマンドが設定されている場合、ネットワークユーザを認証するためのHTTP(S)リスニングポートが有効になります。ネットワークアクセス制御用のAAAと、ネットワークユーザを認証するためのHTTP(S)リスニングポートは、デフォルトでは有効になっていません。
巧妙に細工された証明書の検証中のサービス拒否
この脆弱性が存在するには、Cisco ASAソフトウェアに、サードパーティの認証局またはCisco ASAのローカル認証局に登録された認証済みトラストポイントが少なくとも1つ存在する必要があります。
Cisco ASAソフトウェアが認証済みトラストポイントで設定されているかどうかを確認するには、show crypto ca certificateコマンドを使用して、証明書が少なくとも1つのトラストポイントに関連付けられていることを確認します。次の例は、「test」という名前のトラストポイントに関連付けられた証明書を示しています
ciscoasa# show crypto ca certificates
[...]
Status: Available
[...]
Associated Trustpoints: test
デジタル証明書認証はデフォルトでは有効になっていません。
DNSインスペクションに関するDoS脆弱性
Cisco ASAソフトウェアは、DNSインスペクションが有効な場合、この脆弱性の影響を受けます。
DNSインスペクションが有効になっているかどうかを確認するには、show service-policy | include dnsコマンドを使用します。次の例は、DNSインスペクションが有効になっているCisco ASAソフトウェアを示しています。
DNS インスペクションはデフォルトでイネーブルになっています。ciscoasa# show service-policy | include dns
Inspect: dns preset_dns_map, packet 0, lock fail 0, drop 0, reset-drop 0
実行中のソフトウェアバージョンの確認
脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを知るには、show version コマンドを発行します。次の例は、Cisco ASAソフトウェアバージョン8.4(1)を実行しているデバイスを示しています。
ciscoasa#show version | include Version
Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(1)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
脆弱性を含んでいないことが確認された製品
Cisco FWSMを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
Cisco ASAソフトウェアには複数の脆弱性があり、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。
IKEバージョン1のDoS脆弱性
IKEバージョン1の実装には脆弱性があり、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。この脆弱性は、着信IKEバージョン1メッセージの不適切な処理に起因します。攻撃者は、巧妙に細工されたIKEメッセージを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こす可能性があります。
本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードに影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)トラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCub85692(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-1149が割り当てられています。
巧妙に細工されたURLにおけるDoS脆弱性
Cisco ASAソフトウェアの認証プロキシ機能のURL処理コードの脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。この脆弱性は、巧妙に細工されたURLの不適切な処理に起因します。攻撃者は、巧妙に細工されたURLを該当デバイスに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はサービス拒否状態を引き起こす可能性があります。
通過トラフィックと該当システム宛てのトラフィックの両方が、この脆弱性の不正利用に使用される可能性があります。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCud16590(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1150が割り当てられています。巧妙に細工された証明書の検証中のサービス拒否
認証のためのデジタル証明書の検証に使用される機能の実装における脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があります。この脆弱性は、認証中に使用されるデジタル証明書を検証するコードの実装エラーに起因します。攻撃者は、巧妙に細工された証明書を使用して該当デバイスの認証操作をトリガーすることにより、この脆弱性を不正利用する可能性があります。
本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuc72408(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1151が割り当てられています。DNSインスペクションに関するDoS脆弱性
Cisco ASAソフトウェアのDNSアプリケーションインスペクションは、DNSスプーフィングとキャッシュポイズニングに対する保護を提供するDNSメッセージ制御をサポートしています。
Cisco ASAソフトウェアのDNSインスペクションエンジンコードには脆弱性が存在するため、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされる可能性があります。この脆弱性は、DNSメッセージの一部のフィールドの不適切な処理に起因します。攻撃者は、該当デバイスによるインスペクションをトリガーする巧妙に細工されたDNSメッセージを送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性の不正利用に使用できるのは通過トラフィックのみです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方において、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuc80080(登録ユーザ専用)として文書化され、CVE ID CVE-2013-1152が割り当てられています。
回避策
IKEバージョン1のDoS脆弱性
可能であれば、IKEバージョン1を無効にすることで、この脆弱性を軽減できます。IKEバージョン1を無効にすると、セキュリティアソシエーション(SA)のネゴシエーションと確立にIKEバージョン1を使用するように設定されたIPsecベースのVPNトンネル(LAN間およびリモートアクセス)が無効になることに注意してください。ただし、管理者がSSL VPN(リモートアクセスのみ)のみを使用している場合は、VPNソリューションに影響を与えずにIKEバージョン1を無効にできる可能性があります。IKEバージョン1をディセーブルにするには、グローバルコンフィギュレーションコマンドno crypto isakmp enable <interface name>(Cisco ASAソフトウェア8.3.x以前)またはno crypto ikev1 enable <interface name>(Cisco ASAソフトウェア8.4.x以降)を使用します。
IKEバージョン2はこの脆弱性の影響を受けないため、IKEバージョン2に移行してIKEバージョン1を無効にすると、この脆弱性を排除できます。
巧妙に細工されたURLにおけるDoS脆弱性
可能であれば、ネットワークアクセス制御とHTTP(S)リスニングポートに対してAAAを無効にしてネットワークユーザを認証することで、この脆弱性を軽減できます。ネットワークユーザを認証するためのHTTP(S)リスニングポートは、グローバルコンフィギュレーションコマンドno aaa authentication listenerを使用して無効にできます。
巧妙に細工された証明書の検証中のサービス拒否
この脆弱性を軽減する回避策はありません。
DNSインスペクションに関するDoS脆弱性
可能であれば、DNSインスペクションを無効にすることで、この脆弱性を軽減できます。次のコマンドを使用すると、デフォルトで設定されているDNSインスペクションが無効になります。
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# no inspect dns
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。
メジャー リリース |
推奨リリース |
7.0 | 7.2.x以降に移行 |
7.1 | 7.2.x以降に移行 |
7.2 | 7.2(5.10) |
8.0 | 8.0(5.31) |
8.1 | 8.2.x以降に移行 |
8.2 | 8.2(5.41) |
8.3 | 8.3(2.37) |
8.4 | 8.4(5.6) |
8.5 | 脆弱性あり、9.xに移行 |
8.6 | 8.6(1.10) |
8.7 | 8.7(1.4) |
9.0 | 9.0(2) |
9.1 | 9.1(2) |
次の表に、このアドバイザリに記載された個々の脆弱性に対する修正を含む最初の修正済みリリースを示します。この情報は、脆弱性によって最初の修正リリースが異なるため、完全を期して提供されています。このアドバイザリに記載されているすべての脆弱性に対する修正が含まれたリリースについては、前の表を参照してください。
脆弱性 | メジャー リリース |
最初の修正済みリリース |
IKEバージョン1のDoS脆弱性(CSCub85692) |
7.0 | 7.2.x以降に移行 |
7.1 | 7.2.x以降に移行 | |
7.2 | 7.2(5.10) | |
8.0 | 8.0(5.28) | |
8.1 | 8.2.x以降に移行 |
|
8.2 | 8.2(5.35) | |
8.3 | 8.3(2.34) | |
8.4 | 8.4(4.11) | |
8.5 | Not affected |
|
8.6 | 8.6(1.10) | |
8.7 | 8.7(1.3) | |
9.0 | Not affected | |
9.1 | Not affected | |
巧妙に細工されたURLでのDoS脆弱性(CSCud16590) |
7.0 | 7.2.x以降に移行 |
7.1 | 7.2.x以降に移行 | |
7.2 | 7.2(5.10) | |
8.0 | 8.0(5.31) | |
8.1 | 8.2.x以降に移行 |
|
8.2 | 8.2(5.38) | |
8.3 | 8.3(2.37) | |
8.4 | 8.4(5.3) | |
8.5 | 脆弱性あり、9.xに移行 |
|
8.6 | 8.6(1.10) | |
8.7 | 8.7(1.4) | |
9.0 | 9.0(1.1) | |
9.1 | 9.1(1.2) | |
巧妙に細工された証明書の検証中のサービス拒否(CSCuc72408) |
7.0 | 7.2.x以降に移行 |
7.1 | 7.2.x以降に移行 | |
7.2 | 7.2(5.10) | |
8.0 | 8.0(5.31) | |
8.1 | 8.2.x以降に移行 |
|
8.2 | 8.2(5.38) | |
8.3 | 8.3(2.37) | |
8.4 | 8.4(5) | |
8.5 | 8.5(1.17) | |
8.6 | 8.6(1.10) | |
8.7 | 8.7(1.3) | |
9.0 | Not affected | |
9.1 | Not affected |
|
DNSインスペクションに関するDoS脆弱性(CSCuc80080) |
7.0 | Not affected |
7.1 | Not affected |
|
7.2 | Not affected |
|
8.0 | Not affected |
|
8.1 | Not affected |
|
8.2 | Not affected | |
8.3 | Not affected |
|
8.4 | Not affected |
|
8.5 | Not affected |
|
8.6 | Not affected |
|
8.7 | Not affected | |
9.0 | 9.0(1.2) | |
9.1 | Not affected |
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Cisco.comのSoftware Centerからダウンロードできます。http://www.cisco.com/cisco/software/navigator.htmlCisco ASA 5500シリーズ適応型セキュリティアプライアンスの場合は、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 5500シリーズ適応型セキュリティアプライアンス> <Cisco ASAモデル> >適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、製品>シスコインターフェイスとモジュール> Ciscoサービスモジュール> Cisco Catalyst 6500シリーズ/7600シリーズASAサービスモジュール> Adaptive Security Appliance (ASA) Softwareの順に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページのInterimタブを展開すると表示されます。
Cisco ASA 1000Vクラウドファイアウォールについては、製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Cisco ASA 1000Vクラウドファイアウォール>適応型セキュリティアプライアンス(ASA)ソフトウェアに移動します。推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
このセキュリティアドバイザリに記載されているすべての脆弱性は、カスタマーサポートケースの解決中に発見されたものです。
URL
改訂履歴
リビジョン 1.1 | 2013年5月23日 | 以前の9.1.x推奨リリース(9.1.1.4)が特定の設定で不安定であると報告されたため、Cisco ASAソフトウェアリリース9.1(2)が推奨リリース9.1.xになりました。この不安定性の問題は、リリース9.1(2)で修正されています。 |
リビジョン 1.0 | 2013年4月10日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。