Cisco Security Advisory: Cisco IOS Software Firewall Application Inspection Control Vulnerability

2008 年 9 月 24 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2008 年 9 月 24 日) | フィードバック

Advisory ID: cisco-sa-20080924-iosfw

http://www.cisco.com/cisco/web/support/JP/102/1021/1021562_cisco-sa-20080924-iosfw-j.html

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.1

Last Updated 2009 April 16 2100 UTC (GMT)

For Public Release 2008 September 24 1600 UTC (GMT)


要約

IOSファイアウォール アプリケーション インスペクション コントロール(AIC)機能でHTTP特有のポリシーが設定されているCisco IOS ソフトウェアには、不正な形式のHTTP通過パケットを処理する際にサービス拒絶に関する脆弱性が存在します。この脆弱性を利用して該当製品をリロードさせられる可能性があります。

Ciscoはこの脆弱性に対処する無償のソフトアップデートをリリースしました。

この脆弱性のための緩和策が存在します。詳細については "回避策" セクションを参照して下さい。

このアドバイザリは以下に掲載されます: http://www.cisco.com/cisco/web/support/JP/102/1021/1021562_cisco-sa-20080924-iosfw-j.html

注: 2008年9月24日のIOSアドバイザリバンドル公開には12の Security Advisory が含まれています。そのうちの11のアドバイザリはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処し、1つのアドバイザリはCisco Unified Communication Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。

個々の公開リンクは下記にリストされています:

該当製品

HTTP AIC機能はCisco IOSソフトウェアリリース12.4(9)Tで導入されました。このアドバイザリのソフトウェアテーブルでどのリリースが該当するかわかります。

脆弱性が存在する製品

この問題は脆弱性が存在するバージョンのCisco IOS ソフトウェアが稼動し、HTTPに関するCisco IOS ファイアウォールAICが定義されている機器に影響を与えます。

Cisco IOS製品で稼動しているソフトウェアを確認するには、機器にログインしてshow versionコマンドラインインターフェイス(CLI)コマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアの場合、"Internetwork Operating System Software"または単純に"IOS"と表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、続いて"Version"とCisco IOSリリース名が表示されます。他のCisco機器ではshow versionコマンドがない場合や、異なる表示をする場合があります。

以下の例はCisco IOSイメージ12.4(15)T2が稼動しているデバイスの出力を示したものです:

router#show version
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), 
   Version 12.4(15)T2, RELEASE SOFTWARE (fc7) Technical Support:     
http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco   
Systems, Inc. Compiled Thu 17-Jan-08 23:12 by prod_rel_team

!--- Output truncated.

Cisco IOSリリース命名規則のその他の情報は、以下のリンクの"White Paper: Cisco IOS Reference Guide"で確認できます: http://www.cisco.com/warp/public/620/1.html

設定にHTTPディープパケットインスペクション(DPI)のためのレイヤ7クラスマップ、ポリシーマップが存在し、このポリシーが一つでもファイアウォールゾーンに適用されている場合、そのデバイスは本脆弱性の影響を受けます。脆弱性が存在するHTTPのCisco IOS ファイアウォールAICに関する設定がされているかどうか確認するには、機器にログインし、CLIコマンド show policy-map type inspect zone-pair | section packet inspectionを実行します。出力にPolicy: http レイヤ7ポリシーマップ名が含まれていれば、その機器には脆弱性が存在します。次の例は脆弱性が存在する機器の応答を示したものです:

Router#show policy-map type inspect zone-pair | section packet inspection

         Deep packet inspection
  Policy: http layer7-policymap
  1 packets, 28 bytes

Router#

脆弱性が存在しない製品

他のCisco製品で本脆弱性の影響を受ける機器は現時点では確認されていません。12.4(9)T以前のIOSリリースは本脆弱性の影響を受けません。本脆弱性が存在しないと確認された製品には以下があります:

  • Cisco PIX
  • Cisco ASA
  • Cisco Firewall Services Module (FWSM)
  • The Virtual Firewall (VFW) application on the multiservice blade (MSB) on the Cisco XR 12000 Series Router

詳細

ファイアウォールは組織のネットワーク資産に対するアクセスを制御するネットワーク機器です。ファイアウォールは通常ネットワークの入り口に設置されます。Cisco IOSソフトウェアは特定の要件に従い単純なものから複雑なものまでファイアウォールポリシーを設定することができる一連のセキュリティ機能を提供します。

HTTPはインターネットWebサービスの転送にデフォルトでポート80番を使用しており、ネットワークでは一般的に使われています。ポート80番のトラフィックは大抵疑われずにネットワークを通過できるので、多くのアプリケーション開発者はアプリケーションのトラフィックがファイアウォールを通過もしくはバイパスできるように転送プロトコルとしてHTTPを活用しています。Cisco IOS ファイアウォールでHTTP AICが設定されると、その機器はパケットインスペクションを実行し、セキュリティポリシー設定の範囲内で許可されていないHTTP接続を検出します。またポート80番を利用してアプリケーションをトンネリングさせているユーザを検出することもできます。HTTPプロトコルに従っていないパケットは廃棄され、その接続はリセットされ、必要に応じてsyslog messsageが生成されます。

IOSファイアウォール アプリケーション インスペクション コントロール(AIC)機能でHTTP特有のポリシーが設定されているCisco IOS ソフトウェアには、不正な形式のHTTP通過パケットを処理する際にサービス拒絶に関する脆弱性が存在します。この脆弱性を利用して該当製品をリロードさせられる可能性があります。

HTTPはTCP上で動作します。この脆弱性が不正に利用され、悪意のあるトラフィックが流れて機器がリロードさせられるには、クライアントとサーバの間で前もって完全なTCP 3 ウェイ ハンドシェイクが行われる必要があります。

HTTP特有のポリシーマップが使用されているCisco IOSファイアウォールAICに関するその他の情報は以下のURLで確認できます: http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124newft/124t/124t6/htzonebp.htm#wp1407906

この脆弱性はCiscoバグID CSCsh12480 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) IDとしてCVE-2008-3812が割り当てられています。

脆弱性スコア詳細

シスコは Common Vulnerability Scoring SystemCVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは以下の URLにてCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

CSCsh12480 - IOSFW with HTTP AIC may reload on processing crafted HTTP packet

Calculate the environmental score of CSCsh12480

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed

影響

この脆弱性を利用して該当製品をリロードさせられる可能性があります。この不正利用が繰り返されると継続したDoS 攻撃となる可能性があります。

ソフトウエアバージョン及び修正

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。

Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

Major Release

Availability of Repaired Releases

Affected 12.0-Based Releases

First Fixed Release

Recommended Release

There are no affected 12.0 based releases

Affected 12.1-Based Releases

First Fixed Release

Recommended Release

There are no affected 12.1 based releases

Affected 12.2-Based Releases

First Fixed Release

Recommended Release

There are no affected 12.2 based releases

Affected 12.3-Based Releases

First Fixed Release

Recommended Release

There are no affected 12.3 based releases

Affected 12.4-Based Releases

First Fixed Release

Recommended Release

12.4

Not Vulnerable

 

12.4JA

Not Vulnerable

 

12.4JK

Not Vulnerable

 

12.4JL

Not Vulnerable

 

12.4JMA

Not Vulnerable

 

12.4JMB

Not Vulnerable

 

12.4JMC

Not Vulnerable

 

12.4JX

Not Vulnerable

 

12.4MD

Not Vulnerable

 

12.4MR

Not Vulnerable

 

12.4SW

Not Vulnerable

 

12.4T

Releases prior to 12.4(9)T are not vulnerable. First fixed in:

12.4(9)T7

12.4(11)T4

12.4(15)T

12.4(15)T7

12.4XA

Not Vulnerable

 

12.4XB

Not Vulnerable

 

12.4XC

Not Vulnerable

 

12.4XD

Not Vulnerable

 

12.4XE

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.4XF

Not Vulnerable

 

12.4XG

Not Vulnerable

 

12.4XJ

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.4XK

Vulnerable; first fixed in 12.4T

12.4(15)T7

12.4XL

Not Vulnerable

 

12.4XM

Not Vulnerable

 

12.4XN

Not Vulnerable

 

12.4XP

Not Vulnerable

 

12.4XQ

Not Vulnerable

 

12.4XT

Not Vulnerable

 

12.4XV

Vulnerable; contact TAC

 

12.4XW

12.4(11)XW1

12.4(11)XW9

12.4XY

Not Vulnerable

 

12.4XZ

Not Vulnerable

 

12.4YA

Not Vulnerable

 

回避策

この脆弱性のための既知の回避策はありません。この脆弱性に対処する唯一の既知のアクションは該当機器の設定でAIC HTTP ディープパケットインスペクションを無効にすることです。HTTP ディープパケットインスペクションを無効にすることで、ソフトウェアのアップグレードが実施されるまで残りのファイアウォール機能を動作させ続けることが可能となります。他の全てのファイアウォール機能は正常に動作し続けます。

AIC HTTP ディープパケットインスペクションの無効化

AIC HTTP ディープパケットインスペクションを無効にするには、policy-map type inspect layer4-policymappolicy-map type inspect http layer7-policymapの間の関連を削除します。以下の例では現在のコンフィギュレーションに続いて、AIC HTTP ディープパケットインスペクションの設定を削除する方法を示します。


!--- Existing Configuration
!

parameter-map type inspect global

!

class-map type inspect http match-any layer7-classmap
class-map type inspect match-any layer4-classmap
 match protocol http

!

policy-map type inspect http layer7-policymap
 class type inspect http layer7-classmap
  allow
 class class-default
policy-map type inspect layer4-policymap
 class type inspect layer4-classmap
  inspect global
  service-policy http layer7-policymap
 class class-default

!

zone security inside
 description ** Inside Network **
zone security outside
 description ** Outside Network **
zone-pair security in2out source inside destination outside
 description ** Zone Pair - inside to outside **
 service-policy type inspect layer4-policymap

脆弱性が疑われるゾーンペアからサービスポリシーを削除します:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#zone-pair security in2out source inside destination outside
Router(config-sec-zone-pair)#no service-policy type inspect layer4-policymap
Router(config-sec-zone-pair)#exit

policy-map type inspect layer4-policymappolicy-map type inspect http layer7-policymapの間の関連を削除します:

Router(config)#policy-map type inspect layer4-policymap
Router(config-pmap)#class type inspect layer4-classmap
Router(config-pmap-c)#no service-policy http layer7-policymap
Router(config-pmap-c)#exit
Router(config-pmap)#exit

先ほどのゾーンペアに先ほどのサービスポリシーを適用しなおします:

Router(config)#zone-pair security in2out source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect layer4-policymap
Router(config-sec-zone-pair)#exit

必須ではありませんが、不要となったpolicy-map type inspect http layer7-policymapclass-map type inspect http match-any layer7-classmapは設定から削除することを推奨します。

Router(config)#no policy-map type inspect http layer7-policymap
Router(config)#no class-map type inspect http match-any layer7-classmap
Router(config)#exit
Router#

修正済みソフトウェアの入手

Ciscoはこの脆弱性に対処する無償のソフトウェアアップデートをリリースしました。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手することができます。http://www.cisco.com.

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール: tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性はCisco内部テストによって発見されました。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/cisco/web/support/JP/102/1021/1021562_cisco-sa-20080924-iosfw-j.html

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

更新履歴

Revision 1.1

2009-April-16

Removed references to the combined software table, as it is now outdated.

Revision 1.0

2008-September-24

Initial public release

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。