Cisco Security Advisory: Vulnerability in Cisco IOS While Processing SSL Packet

2008 年 9 月 25 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2008 年 9 月 24 日) | フィードバック

Advisory ID: cisco-sa-20080924-ssl

http://www.cisco.com/cisco/web/support/JP/102/1021/1021567_cisco-sa-20080924-ssl-j.html

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.1

Last Updated 2009 April 16 2100 UTC (GMT)

For Public Release 2008 September 24 1600 UTC (GMT)


要約

Cisco IOS機器がSSLパケット処理中にクラッシュする可能性があります。これはSSLセッションの切断処理中に発生する可能性があります。攻撃パケットは不正な形式のものではなく、パケット交換の一部として正常に受信されるものです。

Ciscoはこの脆弱性に対処する無償のソフトアップデートをリリースしました。影響を受けるサービスを無効にすること以外に、この脆弱性の不正利用を緩和する対応策はありません。

このアドバイザリは以下に掲載されます: http://www.cisco.com/cisco/web/support/JP/102/1021/1021567_cisco-sa-20080924-ssl-j.html

注: 2008年9月24日に掲示されるIOSアドバイザリには12の Security Advisory が含まれています。そのうちの11のアドバイザリはCisco IOSソフトウェアの脆弱性に対処し、1つのアドバイザリは Cisco Unified Communications Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。

個々の公開リンクは下記にリストされています:

該当製品

脆弱性のある製品

Cisco IOSが稼動し、SSLベースのサービスを使用している機器はこの脆弱性の影響を受けやすくなります。SSLを利用するいくつかのサービスは次のとおりです:

  • SSL暗号化(HTTPS)をサポートするHTTPサーバ
    以下の例は標準のCisco IOS HTTPサーバは無効になっているが、SSLが有効なCisco IOS HTTPサーバは有効となっている機器の設定を示しています:
    Router#show running-config | include ip http
    no ip http server
    ip http secure-server
    Router#
  • AnyConnect VPNで知られるSSLバーチャル プライベート ネットワーク(SSL VPN)
    以下の例はSSL VPN機能が有効となっている機器の設定を示しています:
    Router#show running-config | include webvpn
    webvpn
    Router#
  • パケットテレフォニー機能のためのOpen Settlement Protocol (OSP)
    以下の例はOSP機能が有効で脆弱性があるHTTPSプロトコルを使用している機器の設定を示しています:
    Router#show running-config | include url
    url https://<host_ip_address>:443/
    Router#

Cisco IOS Bug Toolkitは、この脆弱性の影響を受けるリリースを正確に反映していません。影響を受けるリリースは以下です:

  • 12.4(16)MR, 12.4(16)MR1, 12.4(16)MR2
  • 12.4(17)

Cisco製品上で稼動しているCisco IOSソフトウェアのバージョンを確認するには、機器にログインしてshow versionコマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアの場合、"Internetwork Operating System Software"または単純に"IOS"と表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、続いて"Version"とCisco IOSリリース名が表示されます。他のCisco機器はshow versionコマンドがない場合や、異なる表示をする場合があります。

Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(15)T2, RELEASE SOFTWARE (fc7) 
Technical Support: http://www.cisco.com/techsupport 
Copyright (c) 1986-2008 by Cisco Systems, Inc. 
Compiled Thu 17-Jan-08 23:12 by prod_rel_team

Cisco IOSソフトウェアリリースの命名規則に関して追加の情報は以下のリンクで確認できます: http://www.cisco.com/warp/public/620/1.html

脆弱性が存在しない製品

他のCisco製品、Cisco IOSリリースでこの脆弱性の影響を受けると知られているものは現時点ではありません。

詳細

この脆弱性はSSLセッションの切断処理中に発生します。ユーザ名、パスワード、証明書のような有効な資格情報を所有している必要はありません。SSLプロトコルは転送プロトコルとしてTCPを使用します。完全なTCP 3 ウェイ ハンドシェイクの必要性により、スプーフィングされたIPアドレスの使用による本脆弱性の不正使用が発生する確率は低くなります。

SSLベースのサービスが設定された脆弱性のあるCisco IOS ソフトウェアが稼動している機器はSSLセッションの切断中にクラッシュします。

この脆弱性はCisco Bug ID CSCsj85065 ( 登録ユーザーのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) IDとしてCVE-2008-3798が割り当てられています。

脆弱性スコア詳細

シスコは Common Vulnerability Scoring SystemCVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは以下の URLにてCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

Router reload while processing SSL packets

Calculate the environmental score of CSCsj85065
CVSS Base Score - 7.8
Access Vector Access Complexity Authentication Confidentiality Impact Integrity Impact Availability Impact
Network Low None None None Complete
CVSS Temporal Score - 6.4
Exploitability Remediation Level Report Confidence
Functional Official-Fix Confirmed

影響

この脆弱性の不正利用により、機器のクラッシュが発生する可能性があります。この不正利用が繰り返されると継続したDoS 攻撃となる可能性があります。

ソフトウエアバージョン及び修正

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。

Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

Major Release Availability of Repaired Releases
Affected 12.0-Based Releases First Fixed Release Recommended Release
There are no affected 12.0 based releases
Affected 12.1-Based Releases First Fixed Release Recommended Release
There are no affected 12.1 based releases
Affected 12.2-Based Releases First Fixed Release Recommended Release
There are no affected 12.2 based releases
Affected 12.3-Based Releases First Fixed Release Recommended Release
There are no affected 12.3 based releases
Affected 12.4-Based Releases First Fixed Release Recommended Release
12.4 12.4(17a)

12.4(18)

12.4(18c)
12.4JA Not vulnerable  
12.4JK Not vulnerable  
12.4JL Not vulnerable  
12.4JMA Not vulnerable  
12.4JMB Not vulnerable  
12.4JMC Not vulnerable  
12.4JX Not vulnerable  
12.4MD Not vulnerable  
12.4MR 12.4(19)MR 12.4(19)MR
12.4SW Not vulnerable  
12.4T Not vulnerable  
12.4XA Not vulnerable  
12.4XB Not vulnerable  
12.4XC Not vulnerable  
12.4XD Not vulnerable  
12.4XE Not vulnerable  
12.4XF Not vulnerable  
12.4XG Not vulnerable  
12.4XJ Not vulnerable  
12.4XK Not vulnerable  
12.4XL Not vulnerable  
12.4XM Not vulnerable  
12.4XN Not vulnerable  
12.4XP Not vulnerable  
12.4XQ Not vulnerable  
12.4XT Not vulnerable  
12.4XV Not vulnerable  
12.4XW Not vulnerable  
12.4XY Not vulnerable  
12.4XZ Not vulnerable  

セクション密接なセクション の上

回避策

脆弱性の存在する機器の不正使用を防ぐには、SSLベースのサービスを無効にする必要があります。しかし、定期メンテナンスや機器の運用にこのサービスを使用している場合、回避策はありません。

Cisco OSPの場合は回避策はHTTPSを使用する代わりにHTTPの使用に戻ることです。本回避策の短所は情報が保護されていないネットワーク上を送られることです。

以下のコマンドは脆弱性が存在するHTTPSサービスを無効にします:

Router(config)#no ip http secure-server

以下のコマンドは脆弱性が存在するSSL VPNサービスを無効にします:

Router(config)#no webvpn enable

以下のコマンドは脆弱性が存在するOSPサービスを無効にします:

Router(config)#no settlement

もう一つの方法は、HTTPSの代わりにHTTPを使用することです。この回避策の欠点は、課金情報がネットワークに保護されずに送信されることです。

許可されていないホストが本脆弱性の影響を受ける機器にアクセスするのを防ぐことで、本脆弱性を軽減することは可能です。

コントロールプレーンポリシング(CoPP)

コントロールプレーンポリシング: CoPPをサポートするCisco IOSソフトウェアバージョンではマネジメント・コントロールプレーンを狙った攻撃から機器を守る設定をすることができます。CoPPはCisco IOSリリースの12.0S, 12.2SX, 12.2S, 12.3T, 12.4, and 12.4Tトレインで使用可能です。

以下のCoPPの例では、permit指定されている不正利用パケットに合致するACLエントリーはpolicy-mapdrop機能により廃棄されますが、一方、(設定では表示されていない)deny指定のACLエントリにマッチするパケットは廃棄されないことを示しています:

! Include deny statements up front for any protocols/ports/IP addresses that 
!-- should not be impacted by CoPP

! Include permit statements for the protocols/ports that will be governed by CoPP
access-list 100 permit tcp any any eq 443

!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.
!
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.
!
class-map match-all drop-SSL-class
 match access-group 100

!
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
!
policy-map drop-SSL-policy
 class drop-SSL-class
   drop
   
!-- Apply the Policy-Map to the Control-Plane of the
!-- device.
!
control-plane
 service-policy input drop-SSL-policy

注: 上記のCoPPの例では、不正利用パケットに合致するpermit指定されたACLエントリーはpolicy-mapdrop機能で廃棄され、一方、deny指定に合致するパケットはpolicy-mapdropコマンドの影響を受けないことを示しています。

CoPP機能の設定とその使用に関する追加の情報は次のリンクで確認できます: http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.shtmlおよびhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_feature_guide09186a008052446b.html

Access Control List (ACL)

Access Control List(ACL)を使用することで、この脆弱性を狙った攻撃を軽減するのに役立てることが可能です。ACLでは正当なソースからのパケットのみ機器に到達でき、それ以外は廃棄させるという記述が可能です。以下の例では信頼できるソースからの正当なSSLセッションのみ許可し、それ以外のSSLセッションを拒否する方法を示しています:

access-list 101 permit tcp host <legitimate_host_IP_address> host <router_IP_address> eq 443
access-list 101 deny tcp any any eq 443

修正済みソフトウェアの入手

Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手することができます。http://www.cisco.com.

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について支持と支援を受けてください。

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール: tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この通知のステータス: FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/cisco/web/support/JP/102/1021/1021567_cisco-sa-20080924-ssl-j.html

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

更新履歴

Revision 1.1

2009-April-16

Removed references to the combined software table, as it is now outdated.

Revision 1.0

2008-September-24

Initial public release

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。