Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
この脆弱性は、URL要求の不適切な検証に起因します。攻撃者は、特定のURLを介して不正なコマンドを要求することで、この脆弱性を不正利用する可能性があります。不正利用に成功すると、認証された攻撃者がrootレベルの権限でシステムコマンドを実行する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。該当するすべてのバージョンでこの脆弱性に対処するソフトウェアパッチも提供されています。これらの脆弱性に対しては回避策がありません。
このアドバイザリは次のリンクで確認できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140226-pi
該当製品
脆弱性のある製品
脆弱性を含んでいないことが確認された製品
詳細
Cisco Prime Infrastructureのコマンド実行の脆弱性
Cisco Prime Infrastructureの脆弱性により、認証されたリモートの攻撃者がrootレベルの権限で任意のコマンドを実行する可能性があります。この脆弱性は、URL要求の不適切な検証に起因します。攻撃者は、特定のURLを介して不正なコマンドを要求することで、この脆弱性を不正利用する可能性があります。不正利用に成功すると、認証された攻撃者がrootレベルの権限でシステムコマンドを実行する可能性があります。
この脆弱性は、Cisco Bug ID CSCum71308(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-0679が割り当てられています。
回避策
修正済みソフトウェア
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
修正済みソフトウェア
次の表に、Cisco Prime Infrastructureのメジャーバージョンごとに、この脆弱性を修正した最初のリリースに関する情報を示します。 メジャーバージョン |
最初の修正 |
1.2 |
修正済みリリース1.3以降にアップグレードします。 |
1.3 | 1.3.0.20-2 |
1.4 | 1.4.0.45-2 |
2.0 | 2.0.0.0.294-2 |
Cisco Prime Infrastructureソフトウェアのアップグレードの詳細については、『Readme for Installing Security Fix Software for the Cisco Prime Infrastructure Appliance』を参照してください。
注:Cisco Prime Infrastructureソフトウェアバージョン1.2をご使用のお客様は、次のパッチを適用するか、修正済みリリース1.3以降にアップグレードできます。
該当するバージョンの例
デバイスで実行されているソフトウェアのバージョンは、管理者がコマンドラインインターフェイス(CLI)からshow versionコマンドを発行することにより確認できます。次の出力は、Cisco Prime Infrastructureソフトウェアバージョン1.4.0.45を実行している該当デバイスからの出力です。このバージョンには、Cisco Bug ID CSCum71308に対する修正は含まれていません。NCS1-2-1-12/admin# show version
Cisco Application Deployment Engine OS Release: 2.0
ADE-OS Build Version: 2.0.1.038
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2010 by Cisco Systems, Inc.
All rights reserved.
Hostname: NCS1-2-1-12
Version information of installed applications
---------------------------------------------
Cisco Prime Network Control System
------------------------------------------
Version : 1.4.0.45
該当しないバージョンの例
次のshow versionの出力は、Cisco Prime Infrastructureソフトウェアバージョン1.4.0.45-2を実行している該当デバイスからの出力です。このバージョンには、Cisco Bug ID CSCum71308に対する修正が含まれています。NCS1-2-1-12/admin# show version
Cisco Application Deployment Engine OS Release: 2.0
ADE-OS Build Version: 2.0.1.038
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2010 by Cisco Systems, Inc.
All rights reserved.
Hostname: NCS1-2-1-12
Version information of installed applications
---------------------------------------------
Cisco Prime Network Control System
------------------------------------------
Version : 1.4.0.45-2
既存のソフトウェアのパッチ
既存のインストール環境では、影響を受けるすべてのバージョンのCisco Prime Infrastructureでこの脆弱性を修正するソフトウェアパッチを利用できます。ソフトウェアパッチの使用を選択したお客様は、適用される他のCisco Prime Infrastructureパッチに関係なく、パッチを適用する必要があります。ソフトウェアパッチは、Cisco.comの「Download Software」ページから次の項目を選択してダウンロードできます。
Downloads Home > Products > Cloud and Systems Management > Routing and Switching Management > Network Management Solutions > Cisco Prime Infrastructure
このパッチのファイル名はPI-CSCum71308-0.tar.gzです。パッチをインストールするには、CLIからapplication install PI-CSCum71308-0.tar.gz <Repository Name>コマンドを発行します。
このコマンドの詳細については、『Command Reference Guide for Cisco Prime Infrastructure』を参照してください。
注:Cisco Prime Infrastructureソフトウェアバージョン1.2をご使用のお客様は、パッチを適用するか、修正済みリリース1.3以降にアップグレードできます。
パッチ適用済みバージョンの例
次のshow version出力は、Cisco Prime Infrastructureソフトウェアバージョン1.4.0.45を実行するパッチ適用済みデバイスからのものです。Cisco Bug ID CSCum71308の修正は、出力内に「SecurityFix_CSCum71308」セクションが存在することで示されるように適用されています。pi146/admin# show version
Cisco Application Deployment Engine OS Release: 2.0
ADE-OS Build Version: 2.0.1.038
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2010 by Cisco Systems, Inc.
All rights reserved.
Hostname: pi146
Version information of installed applications
---------------------------------------------
Cisco Prime Network Control System
------------------------------------------
Version : 1.4.0.45
SecurityFix_CSCum71308 VERSION INFORMATION
-----------------------------------
Version : 1.0.0 Vendor: Cisco Systems, Inc.
Build Date : January 23 2014 01:24PST
推奨事項
不正利用事例と公式発表
シスコは社内テストで脆弱性を発見しました。
URL
改訂履歴
リビジョン 1.1 | 2014年3月13日 | 「修正済みソフトウェア」セクションを更新し、アップグレード情報へのリンクを追加。 |
リビジョン 1.0 | 2014年2月26日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。