Critical
Critical
アドバイザリーID : cisco-sa-20141008-asa
初公開日 : 2014-10-08 16:00
最終更新日 : 2015-07-09 15:14
バージョン 3.0 : Interim
CVSSスコア :
9.0
回避策 : No Workarounds available
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2015-July-08 UPDATE:Cisco PSIRTは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性であるCVE-2014-3383の影響を受けるCisco ASAデバイスを使用している一部のシスコのお客様の中断を認識しています。中断を引き起こしているトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコはそのデバイスのプロバイダーと所有者を関与させ、トラフィックが悪意なく送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、次の脆弱性の影響を受けます。
Cisco ASA SQL*NETインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA VPNのサービス拒否の脆弱性、Cisco ASA IKEv2のサービス拒否の脆弱性、Cisco ASA Health and Performance Monitorのサービス拒否の脆弱性、Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA SunRPCインスペクションエンジンのサービス拒否の脆弱性の不正利用サービスの脆弱性により、該当デバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCコマンド入力検証の脆弱性、およびCisco ASAローカルパス包含の脆弱性が悪用されると、該当システムが完全に侵害される可能性があります。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性が悪用されると、内部情報が漏えいしたり、場合によっては該当システムのリロードが発生したりする可能性があります。
Cisco ASAクライアントレスSSL VPNポータルのカスタマイズ整合性の脆弱性が悪用されると、クライアントレスSSL VPNポータルが侵害される可能性があり、クロスサイトスクリプティング(XSS)、クレデンシャルの盗用、ユーザの悪意のあるWebページへのリダイレクトに限定されない、さまざまな種類の攻撃の原因となる可能性があります。
Cisco ASA Smart Call Homeのデジタル証明書検証の脆弱性が悪用されると、デジタル証明書検証バイパスが発生する可能性があります。これにより、攻撃者はデジタル証明書認証をバイパスし、リモートアクセスVPN経由でネットワーク内にアクセスしたり、Cisco Adaptive Security Device Management(ASDM)経由で該当システムへの管理アクセスを取得したりできます。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、次の脆弱性の影響を受けます。
- Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNのDoS脆弱性
- Cisco ASA IKEv2のDoS脆弱性
- Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
- Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
- Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
- Cisco ASA DNSインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
- Cisco ASA VNMCのCommand Input Validation Vulnerability
- Cisco ASAローカルパス包含の脆弱性
- Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
- Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
- Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASA SQL*NETインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA VPNのサービス拒否の脆弱性、Cisco ASA IKEv2のサービス拒否の脆弱性、Cisco ASA Health and Performance Monitorのサービス拒否の脆弱性、Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのサービス拒否の脆弱性、Cisco ASA SunRPCインスペクションエンジンのサービス拒否の脆弱性の不正利用サービスの脆弱性により、該当デバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性、Cisco ASA VNMCコマンド入力検証の脆弱性、およびCisco ASAローカルパス包含の脆弱性が悪用されると、該当システムが完全に侵害される可能性があります。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性が悪用されると、内部情報が漏えいしたり、場合によっては該当システムのリロードが発生したりする可能性があります。
Cisco ASAクライアントレスSSL VPNポータルのカスタマイズ整合性の脆弱性が悪用されると、クライアントレスSSL VPNポータルが侵害される可能性があり、クロスサイトスクリプティング(XSS)、クレデンシャルの盗用、ユーザの悪意のあるWebページへのリダイレクトに限定されない、さまざまな種類の攻撃の原因となる可能性があります。
Cisco ASA Smart Call Homeのデジタル証明書検証の脆弱性が悪用されると、デジタル証明書検証バイパスが発生する可能性があります。これにより、攻撃者はデジタル証明書認証をバイパスし、リモートアクセスVPN経由でネットワーク内にアクセスしたり、Cisco Adaptive Security Device Management(ASDM)経由で該当システムへの管理アクセスを取得したりできます。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
該当製品
次の製品で実行されているCisco ASAソフトウェアは、複数の脆弱性の影響を受けます。
- Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュール
- Cisco ASA 1000V クラウド ファイアウォール
- Cisco 適応型セキュリティ仮想アプライアンス(ASAv)
脆弱性のある製品
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、SQL*Netインスペクションが有効な場合、この脆弱性の影響を受けます。
SQL*Netインスペクションが有効になっているかどうかを確認するには、 show service-policy | include sqlnetコマンドを使用して、出力が返されることを確認します。次の例は、SQL*Netインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA VPNのDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv1およびIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN、IPSec VPNクライアントとIKEv2 AnyConnect VPNの両方によるリモートアクセスVPN、およびL2TP over IPSec VPN接続が含まれます。クライアントレスSSL VPNまたはAnyConnect SSL VPNは、この脆弱性の影響を受けません。
Cisco ASAがIKEv1またはIKEv2 VPN接続を終端するように設定されているかどうかを確認するには、少なくとも1つのインターフェイスにクリプトマップを設定する必要があります。管理者は show running-config crypto map | include interfaceコマンドを使用して、出力が返されることを確認します。次の例は、 outsideインターフェイスに設定された cmapという名前の暗号マップを示しています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN IKEv2およびAnyConnect IKEv2 VPN接続が含まれます。IKEv2 VPNが有効になっているかどうかを確認するには、 show running-config crypto ikev2 | include enableコマンドを使用して、コマンドが出力を返すことを確認します。次の例は、インターフェイス outsideでIKEv2 VPNが有効になっているCisco ASAを示しています。
Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
Cisco ASAソフトウェアは、ASDMのヘルスパフォーマンスモニタリング(HPM)が有効になっている場合、この脆弱性の影響を受けます。
HPMが有効になっているかどうかを確認するには、 show running-config | include hpmコマンドを使用して、出力が返されることを確認します。次の例は、HPM機能が有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、GPRSトンネリングプロトコル(GTP)インスペクションが有効な場合、この脆弱性の影響を受けます。
GTPインスペクションが有効になっているかどうかを確認するには、 show service-policy | include gtpコマンドを使用して、出力が返されることを確認します。次の例は、GTPインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
SunRPCインスペクションが有効になっている場合、Cisco ASAソフトウェアはこの脆弱性の影響を受けます。
SunRPCインスペクションが有効になっているかどうかを確認するには、 show service-policy | include sunrpcコマンドを使用して、出力が返されることを確認します。次の例は、SunRPCインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、DNSインスペクションが有効な場合、この脆弱性の影響を受けます。
DNSインスペクションが有効になっているかどうかを確認するには、 show service-policy | include dnsコマンドを使用して、出力が返されることを確認します。次の例は、DNSインスペクションが有効になっているCisco ASAソフトウェアを示しています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNを除くすべてのタイプのVPN接続を終端するようにシステムが設定されており、ハイアベイラビリティ(HA)モード(フェールオーバーモードとも呼ばれる)で設定されている場合、この脆弱性の影響を受けます。
管理者は show running-config crypto map | include interfaceコマンドを使用して、システムにIKEv1またはIKEv2 IPSec VPNが設定されているかどうかを確認し、 show running-config webvpn | include anyconnectコマンドを使用して、AnyConnect SSL VPNが設定されているかどうかを確認します。次の例は、IPSecとAnyConnect SSL VPNの両方が設定されたCisco ASAを示しています。
Cisco ASA VNMCのCommand Input Validation Vulnerability
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAローカルパス包含の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNポータルが有効な場合、この脆弱性の影響を受けます。クライアントレスSSL VPNポータルが有効になっているかどうかを確認するには、 show running-config webvpnコマンドを使用して、少なくとも1つのインターフェイスでwebvpnが有効になっていることを確認します。次の例は、クライアントレスSSL VPNポータルが outsideインターフェイスで有効になっているCisco ASAを示しています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
Cisco ASAソフトウェアは、次の条件が満たされている場合、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する侵害の追加のインジケータ
脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。ポータルが侵害されていないことを確認するには、カスタマイズオブジェクトをエクスポートし、オブジェクトに悪意のあるコードが含まれていないことを手動で確認します。
新しいカスタムオブジェクトとデフォルトカスタマイズオブジェクト(DfltCustomization)を分析する必要があります。SSL VPNポータルカスタマイズオブジェクトをエクスポートするには、 export webvpn customization <object name> <dest fname>コマンドを使用します。ここで、 <object name>はエクスポートされるSSL VPNポータルカスタマイズオブジェクトの名前、 <dest fname>はカスタマイズオブジェクトのコピーを含むファイルの名前です。
次の例は、デフォルトカスタマイズオブジェクト DfltCustomizationを Customization_to_verifyというファイルにエクスポートする方法を示しています
システムに存在するすべてのカスタマイズオブジェクトについて、このプロセスを繰り返す必要があります。
Cisco ASAソフトウェアは、Smart Call Home(SCH)機能がシステムで設定されているか、または設定されている場合に、この脆弱性の影響を受けます。この機能を設定すると、 _SmartCallHome_ServerCAというデジタル証明書トラストポイントがシステムに自動的にインストールされます。このトラストポイントがインストールされているかどうかを確認するには、 show running-config crypto ca trustpoint _SmartCallHome_ServerCAコマンドを使用して、出力が返されることを確認します。次の例は、このトラストポイントがインストールされているCisco ASAを示しています。
Cisco ASAソフトウェアは、SQL*Netインスペクションが有効な場合、この脆弱性の影響を受けます。
SQL*Netインスペクションが有効になっているかどうかを確認するには、 show service-policy | include sqlnetコマンドを使用して、出力が返されることを確認します。次の例は、SQL*Netインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注意: SQL *Netインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include sqlnet Inspect: sqlnet, packet 0, drop 0, reset-drop 0
Cisco ASA VPNのDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv1およびIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN、IPSec VPNクライアントとIKEv2 AnyConnect VPNの両方によるリモートアクセスVPN、およびL2TP over IPSec VPN接続が含まれます。クライアントレスSSL VPNまたはAnyConnect SSL VPNは、この脆弱性の影響を受けません。
Cisco ASAがIKEv1またはIKEv2 VPN接続を終端するように設定されているかどうかを確認するには、少なくとも1つのインターフェイスにクリプトマップを設定する必要があります。管理者は show running-config crypto map | include interfaceコマンドを使用して、出力が返されることを確認します。次の例は、 outsideインターフェイスに設定された cmapという名前の暗号マップを示しています。
注:IKEv1またはIKEv2 VPNは、デフォルトでは設定されていません。ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアは、システムがIKEv2 VPN接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには、LAN-to-LAN IKEv2およびAnyConnect IKEv2 VPN接続が含まれます。IKEv2 VPNが有効になっているかどうかを確認するには、 show running-config crypto ikev2 | include enableコマンドを使用して、コマンドが出力を返すことを確認します。次の例は、インターフェイス outsideでIKEv2 VPNが有効になっているCisco ASAを示しています。
IKEv2を有効にすることに加えて、Cisco ASAでは、IKEv2が有効になっているインターフェイスにクリプトマップを設定する必要があります。これは、 show running-config crypto map | include interfaceコマンドを使用して、出力が返されることを確認します。次の例は、 outsideインターフェイスに設定された cmapという名前の暗号マップを示しています。ciscoasa# show running-config crypto ikev2 | include enable crypto ikev2 enable outside
注:IKEv 2 VPNはデフォルトでは有効になっていません。ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside
Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
Cisco ASAソフトウェアは、ASDMのヘルスパフォーマンスモニタリング(HPM)が有効になっている場合、この脆弱性の影響を受けます。
HPMが有効になっているかどうかを確認するには、 show running-config | include hpmコマンドを使用して、出力が返されることを確認します。次の例は、HPM機能が有効になっているCisco ASAソフトウェアを示しています。
注:HPMはデフォルトでは有効になっていません。ciscoasa# show running-config | include hpm ciscoasa# hpm topn enable
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、GPRSトンネリングプロトコル(GTP)インスペクションが有効な場合、この脆弱性の影響を受けます。
GTPインスペクションが有効になっているかどうかを確認するには、 show service-policy | include gtpコマンドを使用して、出力が返されることを確認します。次の例は、GTPインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:GTPインスペクションはデフォルトでは有効になっていません。ciscoasa# show service-policy | include gtp Inspect: gtp, packet 0, drop 0, reset-drop 0
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
SunRPCインスペクションが有効になっている場合、Cisco ASAソフトウェアはこの脆弱性の影響を受けます。
SunRPCインスペクションが有効になっているかどうかを確認するには、 show service-policy | include sunrpcコマンドを使用して、出力が返されることを確認します。次の例は、SunRPCインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:SunRPCインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include sunrpc Inspect: sunrpc, packet 0, drop 0, reset-drop 0
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco ASAソフトウェアは、DNSインスペクションが有効な場合、この脆弱性の影響を受けます。
DNSインスペクションが有効になっているかどうかを確認するには、 show service-policy | include dnsコマンドを使用して、出力が返されることを確認します。次の例は、DNSインスペクションが有効になっているCisco ASAソフトウェアを示しています。
注:DNSインスペクションはデフォルトで有効になっています。ciscoasa# show service-policy | include dns Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNを除くすべてのタイプのVPN接続を終端するようにシステムが設定されており、ハイアベイラビリティ(HA)モード(フェールオーバーモードとも呼ばれる)で設定されている場合、この脆弱性の影響を受けます。
管理者は show running-config crypto map | include interfaceコマンドを使用して、システムにIKEv1またはIKEv2 IPSec VPNが設定されているかどうかを確認し、 show running-config webvpn | include anyconnectコマンドを使用して、AnyConnect SSL VPNが設定されているかどうかを確認します。次の例は、IPSecとAnyConnect SSL VPNの両方が設定されたCisco ASAを示しています。
管理者は show failoverコマンドを使用して、ハイアベイラビリティモードが設定されているかどうかを確認するためにフェールオーバーが ONであることを確認できます。次の例は、ハイアベイラビリティモードが有効になっているCisco ASAを示しています。ciscoasa# show running-config webvpn | include anyconnect enable anyconnect enable ciscoasa# show run crypto map | include interface crypto map outside_map interface outside
注:この脆弱性は、フェールオーバートラフィックを保護するためにフェールオーバーキーを使用しないHA設定にのみ影響します。HAとVPNはデフォルトでは有効になっていません。ciscoasa# show failover Failover On [...]
Cisco ASA VNMCのCommand Input Validation Vulnerability
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAローカルパス包含の脆弱性
該当するバージョンのソフトウェアを実行しているすべてのCisco ASAが、この脆弱性の影響を受けます。
Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
Cisco ASAソフトウェアは、クライアントレスSSL VPNポータルが有効な場合、この脆弱性の影響を受けます。クライアントレスSSL VPNポータルが有効になっているかどうかを確認するには、 show running-config webvpnコマンドを使用して、少なくとも1つのインターフェイスでwebvpnが有効になっていることを確認します。次の例は、クライアントレスSSL VPNポータルが outsideインターフェイスで有効になっているCisco ASAを示しています。
注:クライアントレスSSL VPNポータルは、デフォルトでは有効になっていません。ciscoasa# show running-config webvpn webvpn enable outside [...]
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
Cisco ASAソフトウェアは、次の条件が満たされている場合、この脆弱性の影響を受けます。
- クライアントレスSSL VPNポータル機能が有効になっている
- デフォルトのカスタマイズオブジェクト、またはクライアントレスSSL VPNポータル用に新しく作成されたカスタマイズオブジェクトは、ASDMでプレビューする必要があります
カスタマイズオブジェクトのプレビューが実行されたかどうかを判断する方法はありません。カスタマイズオブジェクトをプレビューするには、次のメソッドを使用します。Asdmで、[CLIENTLESS SSL VPN ACCESS] -> [PORTAL] -> [CUSTOMIZATION] -> [PREVIEW] に移動します。ciscoasa# show running-config webvpn webvpn enable outside [...]
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する侵害の追加のインジケータ
脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。ポータルが侵害されていないことを確認するには、カスタマイズオブジェクトをエクスポートし、オブジェクトに悪意のあるコードが含まれていないことを手動で確認します。
新しいカスタムオブジェクトとデフォルトカスタマイズオブジェクト(DfltCustomization)を分析する必要があります。SSL VPNポータルカスタマイズオブジェクトをエクスポートするには、 export webvpn customization <object name> <dest fname>コマンドを使用します。ここで、 <object name>はエクスポートされるSSL VPNポータルカスタマイズオブジェクトの名前、 <dest fname>はカスタマイズオブジェクトのコピーを含むファイルの名前です。
次の例は、デフォルトカスタマイズオブジェクト DfltCustomizationを Customization_to_verifyというファイルにエクスポートする方法を示しています
Customization_to_verifyファイルはデバイスディスクに保存され、エクスポートして詳細な分析を行うことができます。ciscoasa# export webvpn customization DfltCustomization Customization_to_verify
システムに存在するすべてのカスタマイズオブジェクトについて、このプロセスを繰り返す必要があります。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアは、Smart Call Home(SCH)機能がシステムで設定されているか、または設定されている場合に、この脆弱性の影響を受けます。この機能を設定すると、 _SmartCallHome_ServerCAというデジタル証明書トラストポイントがシステムに自動的にインストールされます。このトラストポイントがインストールされているかどうかを確認するには、 show running-config crypto ca trustpoint _SmartCallHome_ServerCAコマンドを使用して、出力が返されることを確認します。次の例は、このトラストポイントがインストールされているCisco ASAを示しています。
注:このトラストポイントが存在すると、システムは脆弱になります。ただし、デジタル証明書検証サービスに依存する別の機能が設定されていない限り、この脆弱性を不正利用することはできません。これらの機能の例としては、VPNまたはASDM接続のデジタル証明書認証、TLSプロキシと電話プロキシがあります。SCHはデフォルトでは有効になっていません。ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA crypto ca trustpoint _SmartCallHome_ServerCA crl configure
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアは、Cisco ASA 5500シリーズ適応型セキュリティアプライアンス、Cisco ASA 5500-X次世代ファイアウォール、Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュール(ASASM)、Cisco ASA 1000Vクラウドファイアウォール、およびCisco適応型セキュリティ仮想アプライアンス(ASA)で使用されるオペレーティングシステムですv)Cisco ASAファミリは、ファイアウォール、侵入防御システム(IPS)、アンチウイルス、VPNなどのネットワークセキュリティサービスを提供します。
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
注:この脆弱性の不正利用に使用できるのは、Cisco ASA SQL*Netインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)のトラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum46027( 登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3382が割り当てられています。
Cisco ASA VPNのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのIKEコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、UDPパケットの不十分な検証に起因します。攻撃者は、巧妙に細工されたUDPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)のトラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCul36176( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3383が割り当てられています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアのIKEv2コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum96401( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3384が割り当てられています。
Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
注:この脆弱性の不正利用に使用できるのは、通過TCPトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum00556( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3385が割り当てられています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのGPRSトンネリングプロトコル(GTP)インスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、特定のシーケンスで送信されたGTPパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工されたGTPパケットを送信することにより、この脆弱性を不正利用する可能性があります。不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります
注:この脆弱性の不正利用に使用できるのは、Cisco ASA GTPインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCum56399( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3386が割り当てられています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのSunRPCインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSunRPCパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたSunRPCパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、Cisco ASA SunRPCインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCun11074( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3387が割り当てられています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのDNSインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、Cisco ASA DNSインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuo68327( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3388が割り当てられています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアのVPNコードの脆弱性により、認証されたリモートの攻撃者が、フェールオーバーインターフェイスを介してスタンバイユニットに設定コマンドを送信できる可能性があります。その結果、攻撃者はアクティブフェールオーバーユニットとスタンバイフェールオーバーユニットの両方を完全に制御できる可能性があります。
この脆弱性は、確立されたVPNトンネルから着信するパケットに対する内部フィルタの不適切な実装に起因します。攻撃者は、巧妙に細工されたパケットをフェールオーバーインターフェイスのIPアドレスに送信することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuq28582( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3389が割り当てられています。
Cisco ASA VNMCのCommand Input Validation Vulnerability
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのVirtual Network Management Center(VNMC)ポリシーコードの脆弱性により、認証されたローカルの攻撃者が、 rootユーザの権限を使用して、基盤となるLinuxオペレーティングシステムにアクセスできる可能性があります。
この脆弱性は、ユーザが指定した入力のサニタイズが不十分であることに起因します。攻撃者は、該当システムに管理者としてログインし、悪意のあるスクリプトをディスクにコピーしてスクリプトを実行することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。デフォルト設定では、この脆弱性を不正利用するために管理または特権15アクセスが必要です。
この脆弱性は、Cisco Bug ID CSCuq41510( 登録ユーザ専用)および CSCuq47574( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3390が割り当てられています。
Cisco ASAローカルパス包含の脆弱性
Cisco ASAソフトウェアの環境変数をエクスポートする機能の脆弱性により、認証されたローカルの攻撃者が悪意のあるライブラリを挿入し、システムを完全に制御できる可能性があります。
この脆弱性は、LD_LIBRARY_PATH環境の不適切な設定に起因します。攻撃者は、悪意のあるライブラリを該当システムの外部メモリにコピーし、システムのリロードを引き起こすことによって、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムに悪意のあるライブラリをロードさせ、基盤となるLinux OSにアクセスさせ、システムの完全な侵害を引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性を不正利用するには、システムのリロードが必要です。デフォルト設定では、この脆弱性を不正利用するために管理または特権15アクセスが必要です。
この脆弱性は、Cisco Bug ID CSCtq52661( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3391が割り当てられています。
Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
クライアントレスSSL VPNポータル機能の脆弱性により、認証されていないリモートの攻撃者がランダムなメモリの場所にアクセスできる可能性があります。この脆弱性により、攻撃者はメモリに格納された情報にアクセスできる可能性があり、場合によってはメモリのこの部分を破損する可能性があり、該当システムのリロードが発生する可能性があります。
この脆弱性は、ユーザが指定した入力のサニタイズが不十分であることに起因します。攻撃者は、クライアントレスSSL VPNポータルへのアクセス中に渡されるパラメータにランダムな値を設定することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードのルーテッドファイアウォールモードで設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCuq29136( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3392が割り当てられています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードのルーテッドファイアウォールモードで設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCup36829( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3393が割り当てられています。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアのSmart Call Home(SCH)機能の脆弱性により、デジタル証明書を使用する機能が該当システムで設定されている場合、認証されていないリモートの攻撃者がデジタル証明書の検証をバイパスできる可能性があります。
この脆弱性は、SCHが設定されると、VeriSign証明書を含むトラストポイントが自動的にインストールされることに起因します。攻撃者は、該当システムへの認証時にVeriSignによって署名された有効な証明書を提示することで、この脆弱性をエクスプロイトする可能性があります。この不正利用により、攻撃者は、たとえば、特定の機能で使用される際にデジタル証明書認証をバイパスできる可能性があります。デジタル証明書検証を使用するように設定できる機能の例としては、VPNおよびAdaptive Security Device Management(ASDM)認証、TLSプロキシ、電話プロキシなどがあります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCun10916( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3394が割り当てられています。
Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
SQL*Netインスペクションエンジンコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSQL REDIRECTパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工された一連のREDIRECTパケットを送信することにより、この脆弱性を不正利用する可能性があります。注:この脆弱性の不正利用に使用できるのは、Cisco ASA SQL*Netインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)のトラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum46027( 登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3382が割り当てられています。
Cisco ASA VPNのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのIKEコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、UDPパケットの不十分な検証に起因します。攻撃者は、巧妙に細工されたUDPパケットを該当システムに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)のトラフィックによって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCul36176( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3383が割り当てられています。
Cisco ASA IKEv2のDoS脆弱性
Cisco ASAソフトウェアのIKEv2コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたIKEv2パケットの不適切な処理に起因します。攻撃者は、IKEv2トンネルの確立中に巧妙に細工されたパケットを送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こし、DoS状態が発生する可能性があります
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum96401( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3384が割り当てられています。
Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのASDM機能のHealth and Performance Monitoring(HPM)の脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、最終的にサービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、HPM機能の動作における競合状態に起因します。攻撃者は、影響を受けるデバイスを介して確立される多数のハーフオープン同時接続を送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、DoS状態を引き起こす可能性があります。注:この脆弱性の不正利用に使用できるのは、通過TCPトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCum00556( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3385が割り当てられています。
Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのGPRSトンネリングプロトコル(GTP)インスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、特定のシーケンスで送信されたGTPパケットの不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工されたGTPパケットを送信することにより、この脆弱性を不正利用する可能性があります。不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります
注:この脆弱性の不正利用に使用できるのは、Cisco ASA GTPインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPv4トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCum56399( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3386が割り当てられています。
Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのSunRPCインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたSunRPCパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたSunRPCパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、Cisco ASA SunRPCインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCun11074( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3387が割り当てられています。
Cisco ASA DNSインスペクションエンジンのDoS脆弱性
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのDNSインスペクションエンジンにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。
この脆弱性は、巧妙に細工されたDNSパケットの不十分な検証に起因します。攻撃者は、該当システムを介して巧妙に細工されたDNSパケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムのリロードを引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、Cisco ASA DNSインスペクションエンジンによって検査された通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuo68327( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3388が割り当てられています。
Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性
Cisco ASAソフトウェアのVPNコードの脆弱性により、認証されたリモートの攻撃者が、フェールオーバーインターフェイスを介してスタンバイユニットに設定コマンドを送信できる可能性があります。その結果、攻撃者はアクティブフェールオーバーユニットとスタンバイフェールオーバーユニットの両方を完全に制御できる可能性があります。
この脆弱性は、確立されたVPNトンネルから着信するパケットに対する内部フィルタの不適切な実装に起因します。攻撃者は、巧妙に細工されたパケットをフェールオーバーインターフェイスのIPアドレスに送信することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードまたはマルチコンテキストモードで、ルーテッドファイアウォールモードに設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。
この脆弱性は、Cisco Bug ID CSCuq28582( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3389が割り当てられています。
Cisco ASA VNMCのCommand Input Validation Vulnerability
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのVirtual Network Management Center(VNMC)ポリシーコードの脆弱性により、認証されたローカルの攻撃者が、 rootユーザの権限を使用して、基盤となるLinuxオペレーティングシステムにアクセスできる可能性があります。
この脆弱性は、ユーザが指定した入力のサニタイズが不十分であることに起因します。攻撃者は、該当システムに管理者としてログインし、悪意のあるスクリプトをディスクにコピーしてスクリプトを実行することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。デフォルト設定では、この脆弱性を不正利用するために管理または特権15アクセスが必要です。
この脆弱性は、Cisco Bug ID CSCuq41510( 登録ユーザ専用)および CSCuq47574( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3390が割り当てられています。
Cisco ASAローカルパス包含の脆弱性
Cisco ASAソフトウェアの環境変数をエクスポートする機能の脆弱性により、認証されたローカルの攻撃者が悪意のあるライブラリを挿入し、システムを完全に制御できる可能性があります。
この脆弱性は、LD_LIBRARY_PATH環境の不適切な設定に起因します。攻撃者は、悪意のあるライブラリを該当システムの外部メモリにコピーし、システムのリロードを引き起こすことによって、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当システムに悪意のあるライブラリをロードさせ、基盤となるLinux OSにアクセスさせ、システムの完全な侵害を引き起こす可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性を不正利用するには、システムのリロードが必要です。デフォルト設定では、この脆弱性を不正利用するために管理または特権15アクセスが必要です。
この脆弱性は、Cisco Bug ID CSCtq52661( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3391が割り当てられています。
Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
クライアントレスSSL VPNポータル機能の脆弱性により、認証されていないリモートの攻撃者がランダムなメモリの場所にアクセスできる可能性があります。この脆弱性により、攻撃者はメモリに格納された情報にアクセスできる可能性があり、場合によってはメモリのこの部分を破損する可能性があり、該当システムのリロードが発生する可能性があります。
この脆弱性は、ユーザが指定した入力のサニタイズが不十分であることに起因します。攻撃者は、クライアントレスSSL VPNポータルへのアクセス中に渡されるパラメータにランダムな値を設定することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードのルーテッドファイアウォールモードで設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCuq29136( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3392が割り当てられています。
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
クライアントレスSSL VPNポータルのカスタマイズフレームワークの脆弱性により、認証されていないリモートの攻撃者がクライアントレスSSL VPNポータルの内容を変更できる可能性があります。この脆弱性により、クレデンシャルの盗用、クロスサイトスクリプティング(XSS)、および該当システムを使用するクライアントに対するその他の種類のWeb攻撃など、複数の攻撃が発生する可能性があります。
この脆弱性は、クライアントレスSSL VPNポータルカスタマイズフレームワークにおける認証チェックの不適切な実装に起因します。攻撃者は、RAMFSキャッシュファイルシステムのカスタマイズオブジェクトの一部を変更することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はクライアントレスSSL VPN認証をバイパスし、ポータルコンテンツを変更できる可能性があります。注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードのルーテッドファイアウォールモードで設定されたシステムにのみ影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCup36829( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3393が割り当てられています。
Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASAソフトウェアのSmart Call Home(SCH)機能の脆弱性により、デジタル証明書を使用する機能が該当システムで設定されている場合、認証されていないリモートの攻撃者がデジタル証明書の検証をバイパスできる可能性があります。
この脆弱性は、SCHが設定されると、VeriSign証明書を含むトラストポイントが自動的にインストールされることに起因します。攻撃者は、該当システムへの認証時にVeriSignによって署名された有効な証明書を提示することで、この脆弱性をエクスプロイトする可能性があります。この不正利用により、攻撃者は、たとえば、特定の機能で使用される際にデジタル証明書認証をバイパスできる可能性があります。デジタル証明書検証を使用するように設定できる機能の例としては、VPNおよびAdaptive Security Device Management(ASDM)認証、TLSプロキシ、電話プロキシなどがあります。
注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。この脆弱性を不正利用するには、有効なTCPハンドシェイクが必要です。
この脆弱性は、Cisco Bug ID CSCun10916( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2014-3394が割り当てられています。
回避策
次の脆弱性に対しては、影響を受ける機能を無効にする以外に回避策はありません。
- Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性
- Cisco ASA VPNのDoS脆弱性
- Cisco ASA IKEv2のDoS脆弱性
- Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability
- Cisco ASA GPRSトンネリングプロトコルインスペクションエンジンのDoS脆弱性
- Cisco ASA SunRPCインスペクションエンジンのDoS脆弱性
- Cisco ASA DNSインスペクションエンジンのDoS脆弱性
- Cisco ASA VNMCのCommand Input Validation Vulnerability
- Cisco ASAローカルパス包含の脆弱性
- Cisco ASAクライアントレスSSL VPNの情報開示およびDoS脆弱性
- Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性
- Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性
Cisco ASA VPN Failover Command Injection Vulnerabilityでは、フェールオーバーキーを設定することで、この問題を回避できます。フェールオーバーキーを設定するには、 failover key <key>コマンドを使用します。次の例は、 cisco-keyという名前のフェールオーバーキーを設定する方法を示しています。ciscoasa(config)# no crypto ca trustpoint _SmartCallHome_ServerCA
注:failover ipsecコマンドを使用しても、この問題の回避策はありません。ciscoasa(config)#failover key cisco-key
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、
http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次のCisco ASAソフトウェアの表の各行には、Cisco ASAメジャーリリースごとに、このアドバイザリに記載されている各脆弱性に対する最初の修正リリースが記載されています。表の最後の行には、各Cisco ASAメジャーリリースに対する本アドバイザリに記載されているすべての脆弱性の修正を含むリリースバージョンに関する情報が表示されます。これらのリリースバージョン以降のリリースにアップグレードする必要があります。
1Cisco ASA VPNのDoS脆弱性は、Cisco ASAソフトウェアリリース9.1(4.3)で導入されました
2Cisco ASA DNSインスペクションエンジンのDoS脆弱性は、Cisco ASAソフトウェアリリース9.0(4.8)および9.1(5.2)で導入されました。
3Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性の影響を受けるお客様は、「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項」セクションを参照して、この脆弱性を緩和する方法の詳細を確認する必要があります。
注:Cisco ASAソフトウェアリリース9.3(1.1)は、2014年11月10日までにリリースされる予定です
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する重要な注意事項
ソフトウェアリリースに関係なく、脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。Cisco ASAソフトウェアを修正済みバージョンにアップグレードすると、この脆弱性の不正利用がさらに防止されますが、すでに侵害されシステムに存在するカスタマイズオブジェクトは変更されません。攻撃者がすでにカスタマイズオブジェクトを侵害した場合、侵害されたオブジェクトはアップグレード後も存続します。
カスタマイズオブジェクトが侵害されたかどうかを確認するには、このアドバイザリの「脆弱性のある製品」セクションに記載されている「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に対する侵害の追加インジケータ」の手順に従ってください。
次のメソッドを使用して、デフォルトカスタマイズオブジェクト( DfltCustomization)を復元できます。
import webvpn customizationコマンドを使用して、デフォルト以外のカスタマイズオブジェクトを手動で編集および検証した後に復元することもできます。ASDMを使用して[CLIENTLESS SSL VPN ACCESS] -> [PORTAL] -> [CUSTOMIZATION] に移動すると、デフォルト以外のカスタマイズオブジェクトを削除できます。[CUSTOMIZATION]パネルで、デフォルト以外のカスタマイズオブジェクトを選択し、[Delete] をクリックします。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco ASA 5500-X Next Generation Firewallの場合は、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [<Cisco ASAモデル>] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページの[Interim] タブを展開すると表示されます。
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、[製品(Products)] > [Ciscoインターフェイスおよびモジュール(Cisco Interfaces and Modules)] > [Ciscoサービスモジュール(Cisco Services Modules)] > [Cisco Catalyst 6500シリーズ/7600シリーズASAサービスモジュール(Cisco Catalyst 6500 Series / 7600 Series ASA Services Module)] > [Adaptive Security Appliance (ASA Software] ]に]に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページの[Interim] タブを展開すると表示されます。
Cisco ASA 1000Vクラウドファイアウォールの場合は、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [Cisco ASA 1000Vクラウドファイアウォール(Cisco ASA 1000V Cloud Firewall)] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] に移動します。
Cisco適応型セキュリティ仮想アプライアンス(ASAv)で、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [Cisco適応型セキュリティ仮想アプライアンス(ASAv)(Cisco Adaptive Security Virtual Appliance (ASAv))] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA Software)] に移動します。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次のCisco ASAソフトウェアの表の各行には、Cisco ASAメジャーリリースごとに、このアドバイザリに記載されている各脆弱性に対する最初の修正リリースが記載されています。表の最後の行には、各Cisco ASAメジャーリリースに対する本アドバイザリに記載されているすべての脆弱性の修正を含むリリースバージョンに関する情報が表示されます。これらのリリースバージョン以降のリリースにアップグレードする必要があります。
| 7.2 |
8.2 |
8.3 |
8.4 |
8.5 |
8.6 |
8.7 |
9.0 |
9.1 |
9.2 |
9.3 | |
| CSCum46027:Cisco ASA SQL*NETインスペクションエンジンのDoS脆弱性 | 7.2(5.13) |
8.2(5.50) |
8.3(2.42) |
8.4(7.15) |
8.5(1.21) |
8.6(1.14) |
8.7(1.13) |
9.0(4.5) |
9.1(5.1) |
Not affected | Not affected |
| CSCul36176:Cisco ASA VPNのDenial of Service Vulnerability | Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
Not affected |
9.1(5.1)1 |
Not affected | Not affected |
| CSCum96401:Cisco ASA IKEv2のDenial of Service Vulnerability | Not affected | Not affected | Not affected | 8.4(7.15) | Not affected | 8.6(1.14) | Not affected | 9.0(4.8) | 9.1(5.1) | Not affected | Not affected |
| CSCum00556:Cisco ASA Health and Performance MonitorのDenial of Service Vulnerability |
Not affected |
Not affected |
8.3(2.42) |
8.4(7.11) |
8.5(1.19) |
8.6(1.13) |
8.7(1.11) |
9.0(4.8) |
9.1(4.5) |
Not affected | Not affected |
| CSCum56399:Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability |
Not affected |
8.2(5.51) |
Not affected |
8.4(7.15) |
Not affected |
Not affected |
8.7(1.13) | 9.0(4.8) |
9.1(5.1) |
Not affected | Not affected |
| CSCun11074:Cisco ASA SunRPCインスペクションエンジンのDenial of Service Vulnerability | 7.2(5.14) | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) | 8.5(1.21) | 8.6(1.14) | 8.7(1.13) |
9.0(4.5) | 9.1(5.3) | Not affected | Not affected |
| CSCuo68327 - Cisco ASA DNSインスペクションエンジンのDoS脆弱性 | Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | 9.0(4.13)2 | 9.1(5.7)2 | 9.2(2) | Not affected |
| CSCuq28582:Cisco ASA VPNフェールオーバーコマンドインジェクションの脆弱性 |
7.2(5.15) | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) |
Not affected | 8.6(1.15) | Not affected |
9.0(4.24) | 9.1(5.12) | 9.2(2.6) | 9.3(1.1) |
| CSCuq41510およびCSCuq47574 - Cisco ASA VNMCのCommand Input Validation Vulnerability |
Not affected | Not affected | Not affected | Not affected | Not affected | Not affected | 8.7(1.14) | Not affected | Not affected | 9.2(2.8) | 9.3(1.1) |
| CSCtq52661:Cisco ASAローカルパス包含の脆弱性 | Not affected |
8.2(5.52) |
使用不可 – 8.4以降にアップグレードしてください。 | 8.4(3) | 利用不可 – 9.0以降にアップグレード | Not affected |
8.7(1.13) | Not affected |
Not affected |
Not affected | Not affected |
| CSCuq29136:Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性 | Not affected | 8.2(5.51) | 8.3(2.42) | 8.4(7.23) | Not affected | 8.6(1.15) | Not affected | 9.0(4.24) | 9.1(5.12) | 9.2(2.8) | 9.3(1.1) |
| CSCup36829:Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性3 | Not affected | 8.2(5.51)3 | 8.3(2.42)3 | 8.4(7.23)3 |
Not affected | 8.6(1.14)3 |
Not affected | 9.0(4.24)3 | 9.1(5.12)3 | 9.2(2.4)3 |
Not affected |
| CSCun10916 - Cisco ASA Smart Call Homeデジタル証明書検証の脆弱性 | Not affected | 8.2(5.50) | Not affected | 8.4(7.15) | Not affected | 8.6(1.14) | 8.7(1.13) | 9.0(4.8) | 9.1(5.1) | Not affected |
Not affected |
| このセキュリティアドバイザリに記載されているすべての脆弱性を修正する推奨リリース | 7.2 (5.15) 以降 |
8.2 (5.52) 以降 | 使用不可 – 8.4以降にアップグレードしてください。 | 8.4 (7.23) 以降 | 利用不可 – 9.0以降にアップグレード |
8.6 (1.15) 以降 | 8.7 (1.14) 以降 | 9.0 (4.24) 以降 | 9.1 (5.12) 以降 | 9.2 (2.8) 以降 | 9.3 (1.1) 以降 |
1Cisco ASA VPNのDoS脆弱性は、Cisco ASAソフトウェアリリース9.1(4.3)で導入されました
2Cisco ASA DNSインスペクションエンジンのDoS脆弱性は、Cisco ASAソフトウェアリリース9.0(4.8)および9.1(5.2)で導入されました。
3Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性の影響を受けるお客様は、「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項」セクションを参照して、この脆弱性を緩和する方法の詳細を確認する必要があります。
注:Cisco ASAソフトウェアリリース9.3(1.1)は、2014年11月10日までにリリースされる予定です
Cisco ASAクライアントレスSSL VPNポータルカスタマイズの整合性の脆弱性に関する重要な注意事項
ソフトウェアリリースに関係なく、脆弱性のある設定を実行しているお客様は、ポータルのカスタマイズが侵害されていないことを確認する必要があります。Cisco ASAソフトウェアを修正済みバージョンにアップグレードすると、この脆弱性の不正利用がさらに防止されますが、すでに侵害されシステムに存在するカスタマイズオブジェクトは変更されません。攻撃者がすでにカスタマイズオブジェクトを侵害した場合、侵害されたオブジェクトはアップグレード後も存続します。
カスタマイズオブジェクトが侵害されたかどうかを確認するには、このアドバイザリの「脆弱性のある製品」セクションに記載されている「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に対する侵害の追加インジケータ」の手順に従ってください。
次のメソッドを使用して、デフォルトカスタマイズオブジェクト( DfltCustomization)を復元できます。
- 既定のテンプレートをファイルにエクスポートします。次の例は、デフォルトテンプレートをdefault_templateというファイルにエクスポートする方法を示しています
- デフォルトテンプレートをデフォルトカスタマイズオブジェクト(DfltCustomization)としてインポートします。
ciscoasa# export webvpn customization Template default_template
注:これは、デフォルトカスタマイズオブジェクト( DfltCustomization)に対して行われた変更を上書きします。デフォルトカスタマイズオブジェクト( DfltCustomization)をシステムから削除することはできません。ciscoasa# import webvpn customization DfltCustomization default_template
import webvpn customizationコマンドを使用して、デフォルト以外のカスタマイズオブジェクトを手動で編集および検証した後に復元することもできます。ASDMを使用して[CLIENTLESS SSL VPN ACCESS] -> [PORTAL] -> [CUSTOMIZATION] に移動すると、デフォルト以外のカスタマイズオブジェクトを削除できます。[CUSTOMIZATION]パネルで、デフォルト以外のカスタマイズオブジェクトを選択し、[Delete] をクリックします。
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Software Center(Cisco.com)からダウンロードできます。 http://www.cisco.com/cisco/software/navigator.htmlCisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco ASA 5500-X Next Generation Firewallの場合は、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [<Cisco ASAモデル>] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページの[Interim] タブを展開すると表示されます。
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、[製品(Products)] > [Ciscoインターフェイスおよびモジュール(Cisco Interfaces and Modules)] > [Ciscoサービスモジュール(Cisco Services Modules)] > [Cisco Catalyst 6500シリーズ/7600シリーズASAサービスモジュール(Cisco Catalyst 6500 Series / 7600 Series ASA Services Module)] > [Adaptive Security Appliance (ASA Software] ]に]に移動します。これらのバージョンの一部は暫定バージョンであり、ダウンロードページの[Interim] タブを展開すると表示されます。
Cisco ASA 1000Vクラウドファイアウォールの場合は、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [Cisco ASA 1000Vクラウドファイアウォール(Cisco ASA 1000V Cloud Firewall)] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] に移動します。
Cisco適応型セキュリティ仮想アプライアンス(ASAv)で、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [Cisco適応型セキュリティ仮想アプライアンス(ASAv)(Cisco Adaptive Security Virtual Appliance (ASAv))] > [適応型セキュリティアプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA Software)] に移動します。
不正利用事例と公式発表
Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、およびCisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerabilityは、Alec Stuart-Muirkによってシスコに報告されました。
Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability、およびCisco ASA Local Path Inclusion Vulnerabilityの不正利用は、Alec Stuart-MuirkによるRuxcon 2014セキュリティカンファレンスで実証されています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性は、SecurityMetricsのHyrum Mによってシスコに報告されました。
Hyrum Mによるブログ投稿も、この脆弱性の不正利用を示す公開されています。
このアドバイザリに記載されているその他すべての脆弱性は、内部テストまたはサポートケースの解決中に発見されています。
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている他の脆弱性に関する公式発表は確認しておりません。
Cisco PSIRTは、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性が悪用されたことを認識しています。
お客様は、このセキュリティアドバイザリの「 ソフトウェアバージョンと修正」セクションの「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項」を一読し、この脆弱性の修正を含むバージョンにアップグレードすることをお勧めします
2015-July-08 UPDATE:Cisco PSIRTでは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性であるCVE-2014-3383の影響を受けるCisco ASAデバイスを使用している一部のシスコのお客様の中断を認識しています。中断を引き起こしているトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコはそのデバイスのプロバイダーと所有者を関与させ、トラフィックが悪意なく送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco PSIRTでは、このアドバイザリに記載されている他の脆弱性の悪用に関する情報を入手していません。
Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability、およびCisco ASA Local Path Inclusion Vulnerabilityの不正利用は、Alec Stuart-MuirkによるRuxcon 2014セキュリティカンファレンスで実証されています。
Cisco ASAクライアントレスSSL VPNの情報漏えいとサービス拒否の脆弱性は、SecurityMetricsのHyrum Mによってシスコに報告されました。
Hyrum Mによるブログ投稿も、この脆弱性の不正利用を示す公開されています。
このアドバイザリに記載されているその他すべての脆弱性は、内部テストまたはサポートケースの解決中に発見されています。
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている他の脆弱性に関する公式発表は確認しておりません。
Cisco PSIRTは、Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性が悪用されたことを認識しています。
お客様は、このセキュリティアドバイザリの「 ソフトウェアバージョンと修正」セクションの「Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性に関する重要な注意事項」を一読し、この脆弱性の修正を含むバージョンにアップグレードすることをお勧めします
2015-July-08 UPDATE:Cisco PSIRTでは、このセキュリティアドバイザリで公開されたCisco ASA VPNのDoS脆弱性であるCVE-2014-3383の影響を受けるCisco ASAデバイスを使用している一部のシスコのお客様の中断を認識しています。中断を引き起こしているトラフィックは、特定の送信元IPv4アドレスに分離されました。シスコはそのデバイスのプロバイダーと所有者を関与させ、トラフィックが悪意なく送信されたことを確認しました。修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。
Cisco PSIRTでは、このアドバイザリに記載されている他の脆弱性の悪用に関する情報を入手していません。
URL
改訂履歴
| リビジョン 3.0 | 2015 年 7 月 9 日 | 7月8日の更新情報を[Summary]セクションの上部に移動。 |
| リビジョン 3.0 | 2015年7月8日 | CSCul36176 - Cisco ASA VPN Denial of Service Vulnerabilityの の追加情報とこのアドバイザリの「要約」および「不正利用および公表」セクションを更新。 |
| Revision 2.0 | 2015年2月11日 | Cisco ASAクライアントレスSSL VPNポータルカスタマイズの完全性の脆弱性(CSCup36829)に関する重要な情報を、このアドバイザリの「脆弱性が存在する製品」、「ソフトウェアバージョンと修正」、および「不正利用と公表」セクションに追加しました。 |
| リビジョン 1.2 | 2015年1月13日 | CSCtq52661の最初の修正済みリリースに関する情報を追加。 |
| リビジョン 1.1 | 2014年10月24日 | Cisco ASAソフトウェアバージョン9.3(1.1)の目標期日および「不正利用と公表」セクションを更新。 |
| リビジョン 1.0 | 2014年10月8日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。