Cisco Security Advisory: TLS Renegotiation Vulnerability

2009 年 11 月 16 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2009 年 11 月 16 日) | フィードバック

Advisory ID: cisco-sa-20091109-tls

http://www.cisco.com/cisco/web/support/JP/107/1073/1073244_cisco-sa-20091109-tls-j.html

本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.1

Last Updated 2009 November 16 2100 UTC (GMT)

For Public Release 2009 November 9 1600 UTC (GMT)


要約

Transport Layer Security (TLS) プロトコルの実装に脆弱性が存在し、TLS または SSL のすべてのバージョンを使用する Cisco 製品に影響を受ける可能性があります。この脆弱性はプロトコルの再ネゴシエーション (renegotiation) の取り扱いに存在し、ユーザは中間者攻撃 (man-in-the-middle attack) に晒される可能性があります。

このアドバイザリは http://www.cisco.com/cisco/web/support/JP/107/1073/1073244_cisco-sa-20091109-tls-j.html に掲載されます。

該当製品

Cisco は現在この TLS についての問題の影響を受ける可能性のある製品を評価しています。製品に対する影響が最終的に確定された場合にのみ、このアドバイザリの "脆弱性のある製品" または "脆弱性が存在しない製品" に製品名が掲載されます。製品名がこれら 2 つのいずれにも掲載されていない場合は評価中であることを意味します。

脆弱性のある製品

このセクションは情報が入り次第更新されます。以下の製品はこの脆弱性の影響を受けることが確認されています。

  • CiscoWorks Wireless LAN Solution Engine (WLSE)
  • Cisco Digital Media Player
  • Cisco Digital Media Manager
  • Cisco Access Control Server (ACS)
  • CiscoWorks Common Services
  • Cisco Telepresence Recording Server
  • Cisco IOS Software
  • Cisco IOS-XE Software
  • Cisco NX-OS Software
  • Cisco Video Surveillance Operations Manager Software
  • Cisco Video Surveillance Media Server Software
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module (FWSM)
  • Cisco AVS 3120 and 3180 Series Application Velocity System
  • Cisco CSS 11500 Series Content Services Switches
    CSS 11500 Series Content Services Switche はデフォルトの定義でこの脆弱性の影響を受けますが、 回避策としてクライアント認証を有効にすることができます。
    仮想 SSL サーバでのクライアント認証の有効化・無効化には、ssl-proxy-list 内で ssl-server <number> authentication コマンドを用います。
    Note:  デフォルトではクライアント認証は無効です。CSS でクライアント認証を有効にした場合、 クライアント証明書の検証を行なうために CSS が使用する CA 証明書を指定する必要があります。

脆弱性が存在しない製品

以下の製品はこの脆弱性の影響を受けません:

  • Cisco AnyConnect VPN Client
  • Cisco Unified MeetingPlace
  • Cisco Data Center Network Manager
  • Cisco Service Control Subscriber Manager

このセクションは情報が入り次第更新されます。

詳細

TLS とその前身である SSL はインターネットのような IP データ ネットワーク上の通信にセキュリティを提供する暗号プロトコルです。TLS プロトコルの実装に脆弱性が存在し、TLS または SSL のすべてのバージョンを使用する Cisco 製品に影響を受ける可能性があります。この脆弱性はプロトコルの再ネゴシエーション (renegotiation) の取り扱いに存在し、ユーザは中間者攻撃 (man-in-the-middle attack) に晒される可能性があります。

以下の Cisco Bug ID は、SSL および TLS の問題による影響の可能性をトラッキングするために使用されます。リストされたバグは製品が脆弱であることを意味するものではなく、製品担当チームにより調査中であることを示します。

登録済みのお客様は Cisco の Bug Toolkit でこれらのバグを確認できます: http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl

Product

Bug ID

Cisco Adaptive Security Device Manager (ASDM)

CSCtd01491 (登録ユーザのみ)

Cisco AnyConnect VPN Client

CSCtd01521 (登録ユーザのみ)

Cisco AON Software

CSCtd01646 (登録ユーザのみ)

Cisco AON Healthcare for HIPAA and ePrescription

CSCtd01652 (登録ユーザのみ)

Cisco Application and Content Networking System (ACNS) Software

CSCtd01529 (登録ユーザのみ)

Cisco Application Networking Manager

CSCtd01480 (登録ユーザのみ)

Cisco ASA 5500 Series Adaptive Security Appliances

CSCtd00697 (登録ユーザのみ)

Cisco ASA Advanced Inspection and Prevention (AIP) Security Services Module

CSCtd01539 (登録ユーザのみ)

Cisco AVS 3100 Series Application Velocity System

CSCtd01566 (登録ユーザのみ)

Cisco Catalyst 6500 Series SSL Services Module

CSCtd06389 (登録ユーザのみ)

Firewall Services Module FWSM

CSCtd04061 (登録ユーザのみ)

Cisco CSS 11000 Series Content Services Switches

CSCtd01636 (登録ユーザのみ)

Cisco Unified SIP Phones

CSCtd01446 (登録ユーザのみ)

Cisco Data Center Network Manager

CSCtd02635 (登録ユーザのみ)

Cisco Data Mobility Manager

CSCtd02642 (登録ユーザのみ)

Cisco Digital Media Encoders

CSCtd01703 (登録ユーザのみ)

Cisco Digital Media Manager

CSCtd01692 (登録ユーザのみ)

Cisco Digital Media Players

CSCtd01718 (登録ユーザのみ)

Cisco Emergency Responder

CSCtd02650 (登録ユーザのみ)

Cisco IOS Software

CSCtd00658 (登録ユーザのみ)

Cisco IOS XE Software

CSCtd00658 (登録ユーザのみ)

Cisco IOS XR Software

CSCtd02658 (登録ユーザのみ)

Cisco IP Communicator

CSCtd02662 (登録ユーザのみ)

CATOS

CSCtd00662 (登録ユーザのみ)

Cisco IronPort Appliances

CSCtd02069 (登録ユーザのみ)

Cisco Unified MeetingPlace

CSCtd02709 (登録ユーザのみ)

Cisco NAC Appliance (Clean Access)

CSCtd01453 (登録ユーザのみ)

Cisco NAC Guest Server

CSCtd01462 (登録ユーザのみ)

Cisco NAC Profiler

CSCtd02716 (登録ユーザのみ)

Cisco Network Analysis Module Software (NAM)

CSCtd02729 (登録ユーザのみ)

Cisco Network Registrar

CSCtd02748 (登録ユーザのみ)

Cisco ONS 15500 Series

CSCtd02769 (登録ユーザのみ)

Cisco Physical Access Gateways

CSCtd02777 (登録ユーザのみ)

Cisco Physical Access Manager

CSCtd03912 (登録ユーザのみ)

Cisco Physical Security ISM

CSCtd03920 (登録ユーザのみ)

Cisco QoS Device Manager

CSCtd03923 (登録ユーザのみ)

Cisco Secure Access Control Server (ACS)

CSCtd00725 (登録ユーザのみ)

Cisco Secure Desktop

CSCtd03928 (登録ユーザのみ)

Cisco Secure Services Client

CSCtd03935 (登録ユーザのみ)

Cisco Security Agent CSA

CSCtd02689 (登録ユーザのみ)

Cisco Security Monitoring, Analysis and Response System (MARS)

CSCtd02654 (登録ユーザのみ)

Cisco Unified IP Phones

CSCtd04121 (登録ユーザのみ)

Cisco Service Control Subscriber Manager

CSCtd04171 (登録ユーザのみ)

Cisco TelePresence Manager

CSCtd01771 (登録ユーザのみ)

Telepresence for Consumer

CSCtd01752 (登録ユーザのみ)

Cisco TelePresence Recording Server

CSCtd01742 (登録ユーザのみ)

Cisco Network Asset Collector

CSCtd04198 (登録ユーザのみ)

Cisco Unified Communications Manager (CallManager)

CSCtd01282 (登録ユーザのみ)

Cisco Unified Business Attendant Console

CSCtd05731 (登録ユーザのみ)

Cisco Unified Contact Center Enterprise

CSCtd05790 (登録ユーザのみ)

Cisco Unified Contact Center Express

CSCtd05790 (登録ユーザのみ)

Cisco Unified Contact Center Management Portal

CSCtd05755 (登録ユーザのみ)

Cisco Unified Contact Center Products

CSCtd05790 (登録ユーザのみ)

Cisco Unified Department Attendant Console

CSCtd05733 (登録ユーザのみ)

Cisco Unified E-Mail Interaction Manager

CSCtd05756 (登録ユーザのみ)

Cisco Unified Enterprise Attendant Console

CSCtd05735 (登録ユーザのみ)

Cisco Unified Mobile Communicator

CSCtd05762 (登録ユーザのみ)

Cisco Unified Mobility

CSCtd05786 (登録ユーザのみ)

Cisco Unified Mobility Advantage

CSCtd05783 (登録ユーザのみ)

Cisco Unified Operations Manager

CSCtd05784 (登録ユーザのみ)

Cisco Unified Personal Communicator

CSCtd05759 (登録ユーザのみ)

Cisco Unified Presence

CSCtd05791 (登録ユーザのみ)

Cisco Unified Provisioning Manager

CSCtd05777 (登録ユーザのみ)

Cisco Unified Quick Connect

CSCtd05738 (登録ユーザのみ)

Cisco Unified Service Monitor

CSCtd05780 (登録ユーザのみ)

Cisco Unified Service Statistics Manager

CStCd05778 (登録ユーザのみ)

Cisco Unified SIP Proxy

CSCtd05765 (登録ユーザのみ)

Cisco Unity

CSCtd02855 (登録ユーザのみ)

Cisco NX-OS Software

CSCtd00699 (登録ユーザのみ)
CSCtd00703 (登録ユーザのみ)

Cisco Video Portal

CSCtd04097 (登録ユーザのみ)

Cisco Video Surveillance Media Server Software

CSCtd02831 (登録ユーザのみ)

Cisco Video Surveillance Operations Manager Software

CSCtd02780 (登録ユーザのみ)

Cisco Wide Area File Services Software (WAFS)

CSCtd04106 (登録ユーザのみ)

Cisco Wireless Control System

CSCtd01625 (登録ユーザのみ)

Cisco Wireless LAN Controller (WLAN)

CSCtd01611 (登録ユーザのみ)

Cisco Wireless Location Appliance

CSCtd04115 (登録ユーザのみ)

CiscoWorks Common Services Software

CSCtd01597 (登録ユーザのみ)

CiscoWorks Wireless LAN Solution Engine (WLSE)

CSCtd04111 (登録ユーザのみ)

この脆弱性には Common Vulnerabilities and Exposures (CVE) ID として CVE-2009-3555 が割り当てられています。

脆弱性スコア詳細

Cisco はこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System (CVSS)に基づいたスコアを提供しています。このセキュリティアドバイザリでの CVSS スコアは CVSS version 2.0 に基づいています。CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco は以下の URL にて CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。
http://intellishield.cisco.com/security/alertmanager/cvss

TLS Renegotiation Vulnerability

Calculate the environmental score of All Cisco Bug IDs

CVSS Base Score - 4.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

Partial

None

CVSS Temporal Score - 4.1

Exploitability

Remediation Level

Report Confidence

Functional

Unavailable

Confirmed

影響

このセクションは情報が入り次第更新されます。

ソフトウエアバージョン及び修正

このセクションは影響を受ける Cisco 製品に対する修正ソフトウェア バージョンが入手可能になり次第更新されます。

回避策

回避策については調査中です。このセクションは情報が入り次第更新されます。

修正済みソフトウェアの入手

Cisco はこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前にお客様のメンテナンスプロバイダーにご相談いただくか、ソフトウェアのフィーチャーセットの互換性およびお客様のネットワーク環境に特有の問題に関してご確認下さい。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載の Cisco のソフトウェア ライセンスの条項または、Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

サービス契約をお持ちのお客様

契約をお持ちのお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco のワールドワイドウェブサイト上のソフトウェアセンターからアップグレードを入手することができます。http://www.cisco.com

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社から Cisco 製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。回避策の効果は、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

Cisco から直接購入したが Cisco のサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。

  • +1 800 553 2447 (北米内からのフリー ダイヤル)
  • +1 408 526 7209 (北米以外からの有料通話)
  • 電子メール: tac@cisco.com

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

この脆弱性は PhoneFactor, Inc. の Marsh Ray と Steve Dispensa によって初めて発見されました。

Cisco ではこの脆弱性の不正利用事例は確認しておりません。

コンセプトを実証するためのエクスプロイトコードが公開されています。

この通知のステータス: INTERIM

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また Cisco Systems はいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/cisco/web/support/JP/107/1073/1073244_cisco-sa-20091109-tls-j.html

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

このアドバイザリに関する今後の更新は、いかなるものも Cisco のワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.1

2009-November-16

Affected products update

Revision 1.0

2009-November-9

Initial public release

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。