Cisco Security Advisory: TLS Renegotiation Vulnerability

ライター翻訳版 - November 16, 2009

英語版

Document ID: 111046

Advisory ID: cisco-sa-20091109-tls

http://www.cisco.com/JP/support/public/ht/security/107/1073244/cisco-sa-20091109-tls-j.shtml

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.1

Last Updated 2009 November 16 2100 UTC (GMT)

For Public Release 2009 November 9 1600 UTC (GMT)

要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウエアバージョン及び修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス: INTERIM
情報配信
更新履歴
シスコセキュリティ手順

要約

Transport Layer Security (TLS) プロトコルの実装に脆弱性が存在し、TLS または SSL のすべてのバージョンを使用する Cisco 製品に影響を受ける可能性があります。この脆弱性はプロトコルの再ネゴシエーション (renegotiation) の取り扱いに存在し、ユーザは中間者攻撃 (man-in-the-middle attack) に晒される可能性があります。

このアドバイザリは http://www.cisco.com/JP/support/public/ht/security/107/1073244/cisco-sa-20091109-tls-j.shtml に掲載されます。

該当製品

Cisco は現在この TLS についての問題の影響を受ける可能性のある製品を評価しています。製品に対する影響が最終的に確定された場合にのみ、このアドバイザリの "脆弱性のある製品" または "脆弱性が存在しない製品" に製品名が掲載されます。製品名がこれら 2 つのいずれにも掲載されていない場合は評価中であることを意味します。

脆弱性のある製品

このセクションは情報が入り次第更新されます。以下の製品はこの脆弱性の影響を受けることが確認されています。

CiscoWorks Wireless LAN Solution Engine (WLSE)
Cisco Digital Media Player
Cisco Digital Media Manager
Cisco Access Control Server (ACS)
CiscoWorks Common Services
Cisco Telepresence Recording Server
Cisco IOS Software
Cisco IOS-XE Software
Cisco NX-OS Software
Cisco Video Surveillance Operations Manager Software
Cisco Video Surveillance Media Server Software
Cisco ASA 5500 Series Adaptive Security Appliances
Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module (FWSM)
Cisco AVS 3120 and 3180 Series Application Velocity System
Cisco CSS 11500 Series Content Services Switches
CSS 11500 Series Content Services Switche はデフォルトの定義でこの脆弱性の影響を受けますが、回避策としてクライアント認証を有効にすることができます。
仮想 SSL サーバでのクライアント認証の有効化・無効化には、ssl-proxy-list 内で ssl-server <number> authentication コマンドを用います。
Note: デフォルトではクライアント認証は無効です。CSS でクライアント認証を有効にした場合、クライアント証明書の検証を行なうために CSS が使用する CA 証明書を指定する必要があります。

脆弱性が存在しない製品

以下の製品はこの脆弱性の影響を受けません:

Cisco AnyConnect VPN Client
Cisco Unified MeetingPlace
Cisco Data Center Network Manager
Cisco Service Control Subscriber Manager

このセクションは情報が入り次第更新されます。

TLS とその前身である SSL はインターネットのような IP データネットワーク上の通信にセキュリティを提供する暗号プロトコルです。TLS プロトコルの実装に脆弱性が存在し、TLS または SSL のすべてのバージョンを使用する Cisco 製品に影響を受ける可能性があります。この脆弱性はプロトコルの再ネゴシエーション (renegotiation) の取り扱いに存在し、ユーザは中間者攻撃 (man-in-the-middle attack) に晒される可能性があります。

以下の Cisco Bug ID は、SSL および TLS の問題による影響の可能性をトラッキングするために使用されます。リストされたバグは製品が脆弱であることを意味するものではなく、製品担当チームにより調査中であることを示します。

登録済みのお客様は Cisco の Bug Toolkit でこれらのバグを確認できます: http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl

Product	Bug ID
Cisco Adaptive Security Device Manager (ASDM)	CSCtd01491 (登録ユーザのみ)
Cisco AnyConnect VPN Client	CSCtd01521 (登録ユーザのみ)
Cisco AON Software	CSCtd01646 (登録ユーザのみ)
Cisco AON Healthcare for HIPAA and ePrescription	CSCtd01652 (登録ユーザのみ)
Cisco Application and Content Networking System (ACNS) Software	CSCtd01529 (登録ユーザのみ)
Cisco Application Networking Manager	CSCtd01480 (登録ユーザのみ)
Cisco ASA 5500 Series Adaptive Security Appliances	CSCtd00697 (登録ユーザのみ)
Cisco ASA Advanced Inspection and Prevention (AIP) Security Services Module	CSCtd01539 (登録ユーザのみ)
Cisco AVS 3100 Series Application Velocity System	CSCtd01566 (登録ユーザのみ)
Cisco Catalyst 6500 Series SSL Services Module	CSCtd06389 (登録ユーザのみ)
Firewall Services Module FWSM	CSCtd04061 (登録ユーザのみ)
Cisco CSS 11000 Series Content Services Switches	CSCtd01636 (登録ユーザのみ)
Cisco Unified SIP Phones	CSCtd01446 (登録ユーザのみ)
Cisco Data Center Network Manager	CSCtd02635 (登録ユーザのみ)
Cisco Data Mobility Manager	CSCtd02642 (登録ユーザのみ)
Cisco Digital Media Encoders	CSCtd01703 (登録ユーザのみ)
Cisco Digital Media Manager	CSCtd01692 (登録ユーザのみ)
Cisco Digital Media Players	CSCtd01718 (登録ユーザのみ)
Cisco Emergency Responder	CSCtd02650 (登録ユーザのみ)
Cisco IOS Software	CSCtd00658 (登録ユーザのみ)
Cisco IOS XE Software	CSCtd00658 (登録ユーザのみ)
Cisco IOS XR Software	CSCtd02658 (登録ユーザのみ)
Cisco IP Communicator	CSCtd02662 (登録ユーザのみ)
CATOS	CSCtd00662 (登録ユーザのみ)
Cisco IronPort Appliances	CSCtd02069 (登録ユーザのみ)
Cisco Unified MeetingPlace	CSCtd02709 (登録ユーザのみ)
Cisco NAC Appliance (Clean Access)	CSCtd01453 (登録ユーザのみ)
Cisco NAC Guest Server	CSCtd01462 (登録ユーザのみ)
Cisco NAC Profiler	CSCtd02716 (登録ユーザのみ)
Cisco Network Analysis Module Software (NAM)	CSCtd02729 (登録ユーザのみ)
Cisco Network Registrar	CSCtd02748 (登録ユーザのみ)
Cisco ONS 15500 Series	CSCtd02769 (登録ユーザのみ)
Cisco Physical Access Gateways	CSCtd02777 (登録ユーザのみ)
Cisco Physical Access Manager	CSCtd03912 (登録ユーザのみ)
Cisco Physical Security ISM	CSCtd03920 (登録ユーザのみ)
Cisco QoS Device Manager	CSCtd03923 (登録ユーザのみ)
Cisco Secure Access Control Server (ACS)	CSCtd00725 (登録ユーザのみ)
Cisco Secure Desktop	CSCtd03928 (登録ユーザのみ)
Cisco Secure Services Client	CSCtd03935 (登録ユーザのみ)
Cisco Security Agent CSA	CSCtd02689 (登録ユーザのみ)
Cisco Security Monitoring, Analysis and Response System (MARS)	CSCtd02654 (登録ユーザのみ)
Cisco Unified IP Phones	CSCtd04121 (登録ユーザのみ)
Cisco Service Control Subscriber Manager	CSCtd04171 (登録ユーザのみ)
Cisco TelePresence Manager	CSCtd01771 (登録ユーザのみ)
Telepresence for Consumer	CSCtd01752 (登録ユーザのみ)
Cisco TelePresence Recording Server	CSCtd01742 (登録ユーザのみ)
Cisco Network Asset Collector	CSCtd04198 (登録ユーザのみ)
Cisco Unified Communications Manager (CallManager)	CSCtd01282 (登録ユーザのみ)
Cisco Unified Business Attendant Console	CSCtd05731 (登録ユーザのみ)
Cisco Unified Contact Center Enterprise	CSCtd05790 (登録ユーザのみ)
Cisco Unified Contact Center Express	CSCtd05790 (登録ユーザのみ)
Cisco Unified Contact Center Management Portal	CSCtd05755 (登録ユーザのみ)
Cisco Unified Contact Center Products	CSCtd05790 (登録ユーザのみ)
Cisco Unified Department Attendant Console	CSCtd05733 (登録ユーザのみ)
Cisco Unified E-Mail Interaction Manager	CSCtd05756 (登録ユーザのみ)
Cisco Unified Enterprise Attendant Console	CSCtd05735 (登録ユーザのみ)
Cisco Unified Mobile Communicator	CSCtd05762 (登録ユーザのみ)
Cisco Unified Mobility	CSCtd05786 (登録ユーザのみ)
Cisco Unified Mobility Advantage	CSCtd05783 (登録ユーザのみ)
Cisco Unified Operations Manager	CSCtd05784 (登録ユーザのみ)
Cisco Unified Personal Communicator	CSCtd05759 (登録ユーザのみ)
Cisco Unified Presence	CSCtd05791 (登録ユーザのみ)
Cisco Unified Provisioning Manager	CSCtd05777 (登録ユーザのみ)
Cisco Unified Quick Connect	CSCtd05738 (登録ユーザのみ)
Cisco Unified Service Monitor	CSCtd05780 (登録ユーザのみ)
Cisco Unified Service Statistics Manager	CStCd05778 (登録ユーザのみ)
Cisco Unified SIP Proxy	CSCtd05765 (登録ユーザのみ)
Cisco Unity	CSCtd02855 (登録ユーザのみ)
Cisco NX-OS Software	CSCtd00699 (登録ユーザのみ) CSCtd00703 (登録ユーザのみ)
Cisco Video Portal	CSCtd04097 (登録ユーザのみ)
Cisco Video Surveillance Media Server Software	CSCtd02831 (登録ユーザのみ)
Cisco Video Surveillance Operations Manager Software	CSCtd02780 (登録ユーザのみ)
Cisco Wide Area File Services Software (WAFS)	CSCtd04106 (登録ユーザのみ)
Cisco Wireless Control System	CSCtd01625 (登録ユーザのみ)
Cisco Wireless LAN Controller (WLAN)	CSCtd01611 (登録ユーザのみ)
Cisco Wireless Location Appliance	CSCtd04115 (登録ユーザのみ)
CiscoWorks Common Services Software	CSCtd01597 (登録ユーザのみ)
CiscoWorks Wireless LAN Solution Engine (WLSE)	CSCtd04111 (登録ユーザのみ)

この脆弱性には Common Vulnerabilities and Exposures (CVE) ID として CVE-2009-3555 が割り当てられています。

脆弱性スコア詳細

Cisco はこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System (CVSS)に基づいたスコアを提供しています。このセキュリティアドバイザリでの CVSS スコアは CVSS version 2.0 に基づいています。CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco は以下の URL にて CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。
http://intellishield.cisco.com/security/alertmanager/cvss

TLS Renegotiation Vulnerability Calculate the environmental score of All Cisco Bug IDs
CVSS Base Score - 4.3
Access Vector	Access Complexity	Authentication	Confidentiality Impact	Integrity Impact	Availability Impact
Network	Medium	None	None	Partial	None
CVSS Temporal Score - 4.1
Exploitability		Remediation Level		Report Confidence
Functional		Unavailable		Confirmed

影響

このセクションは情報が入り次第更新されます。

ソフトウエアバージョン及び修正

このセクションは影響を受ける Cisco 製品に対する修正ソフトウェアバージョンが入手可能になり次第更新されます。

回避策

回避策については調査中です。このセクションは情報が入り次第更新されます。

修正済みソフトウェアの入手

Cisco はこれらの脆弱性に対応するための無償ソフトウェアアップデートを提供しています。ソフトウェアの導入を行う前にお客様のメンテナンスプロバイダーにご相談いただくか、ソフトウェアのフィーチャーセットの互換性およびお客様のネットワーク環境に特有の問題に関してご確認下さい。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載の Cisco のソフトウェアライセンスの条項または、Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

サービス契約をお持ちのお客様

契約をお持ちのお客様は、通常のアップデートチャネルからアップグレードソフトウェアを入手してください。ほとんどのお客様は、Cisco のワールドワイドウェブサイト上のソフトウェアセンターからアップグレードを入手することができます。http://www.cisco.com

サードパーティのサポート会社をご利用のお客様

シスコパートナー、正規販売代理店、サービスプロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社から Cisco 製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。回避策の効果は、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

Cisco から直接購入したが Cisco のサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center（TAC）に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。

+1 800 553 2447 (北米内からのフリーダイヤル)
+1 408 526 7209 (北米以外からの有料通話)
電子メール： tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。さまざまな言語向けの各地の電話番号、説明、電子メールアドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

この脆弱性は PhoneFactor, Inc. の Marsh Ray と Steve Dispensa によって初めて発見されました。

Cisco ではこの脆弱性の不正利用事例は確認しておりません。

コンセプトを実証するためのエクスプロイトコードが公開されています。

この通知のステータス: INTERIM

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また Cisco Systems はいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b01d1d.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

cust-security-announce@cisco.com
first-bulletins@lists.first.org
bugtraq@securityfocus.com
vulnwatch@vulnwatch.org
cisco@spot.colorado.edu
cisco-nsp@puck.nether.net
full-disclosure@lists.grok.org.uk
comp.dcom.sys.cisco@newsgate.cisco.com

このアドバイザリに関する今後の更新は、いかなるものも Cisco のワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.1	2009-November-16	Affected products update
Revision 1.0	2009-November-9	Initial public release

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。