Multiple Vulnerabilities in Cisco Firewall Services Module Software

2013 年 4 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 4 月 10 日) | フィードバック

Advisory ID: cisco-sa-20130410-fwsm

http://www.cisco.com/cisco/web/support/JP/111/1117/1117746_cisco-sa-20130410-fwsm-j.html/

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2013 April 10 16:00 UTC (GMT)


要約

Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco Firewall Services Module(FWSM)ソフトウェアは、次の脆弱性の影響を受けます。

  • FWSM HTTP Proxy Traceback における脆弱性
  • IKE バージョン 1 における DoS 脆弱性
これらの脆弱性はそれぞれ独立しています。1 つの脆弱性に影響を受けるリリースが、その他の脆弱性からも影響を受けるとは限りません

これらの脆弱性のいずれかの不正利用が成功した場合、該当デバイスでリロードが発生し、DoS(サービス拒否)状態になることがあります。

シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。IKE の脆弱性に対しては回避策が存在します。

このアドバイザリは、次のリンクで確認できます。

http://www.cisco.com/cisco/web/support/JP/111/1117/1117746_cisco-sa-20130410-fwsm-j.html/


注: Cisco 適応型セキュリティ アプライアンス(ASA)は上記脆弱性の一部に該当する場合があります。Cisco ASA に該当する脆弱性に関しては別途 Cisco Security Advisory が公開されています。このアドバイザリは次のリンクに掲載されています。
http://www.cisco.com/cisco/web/support/JP/111/1117/1117743_cisco-sa-20130410-asa-j.html/

該当製品

Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco Firewall Service Module(FWSM)ソフトウェアには、複数の脆弱性の影響を受けます。影響を受ける Cisco FWSM ソフトウェアのバージョンは、脆弱性によって異なります。該当するバージョンについての詳細情報は、このセキュリティ アドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。

脆弱性が認められる製品

FWSM HTTP Proxy Traceback における脆弱性

Cisco FWSM は、該当バージョンの Cisco FWSM ソフトウェアが実行されていて、かつ認証プロキシ機能が設定されている場合、この脆弱性の影響を受けます。認証プロキシ機能は、デフォルトでは有効になっていません。デバイスの設定に脆弱性があるかを確認する方法については、「詳細」セクションを参照してください。

IKE バージョン 1 における DoS 脆弱性

Cisco FWSM は、IKE バージョン 1 が有効になっている場合 、この脆弱性の影響を受けます。IKE はデフォルトでは有効になっていません。デバイスの設定に脆弱性があるかを確認する方法については、「詳細」セクションを参照してください。
注: FWSM の IKE は、リモート管理用にのみサポートされており、リモート ネットワーク アクセス用にはサポートされていません。

脆弱性が認められない製品

Cisco ASA ソフトウェアを除いて、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

FWSM HTTP Proxy Traceback における脆弱性

Cisco Firewall Services Module(FWSM)ソフトウェアの認証プロキシ機能には脆弱性があるため、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。

この脆弱性は、クライアントが認証プロキシ機能を通じてリクエストを行う際の URL の誤った処理に起因します。Cisco FWSM は、該当バージョンの Cisco FWSM ソフトウェアが実行されていて、かつ認証プロキシ機能が設定されている場合、この脆弱性の影響を受けます。設定に次のコマンドが 1 つ以上含まれる場合、認証プロキシ機能が有効になっています。
aaa authentication {include | exclude} service  interface_name inside_ip inside_mask [outside_ip 
outside_mask] {server_tag | LOCAL}

or

aaa authentication match acl_name interface_name {server_tag | LOCAL}

認証プロキシ機能は、デフォルトでは有効になっていません。他の例は Cisco FWSM コンフィギュレーション ガイドを参照してください。http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/configuration/guide/fwaaa_f.html
この脆弱性は、Cisco Bug ID CSCtg02624登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1155 が割り当てられています。

IKE バージョン 1 における DoS 脆弱性

注: Cisco FWSM の IKE は、リモート管理用にのみサポートされており、リモート ネットワーク アクセス用にはサポートされていません。

Cisco FWSM は、IKE バージョン 1 が有効になっている場合、この脆弱性の影響を受けます。IKE バージョン 1 は、isakmp enable <インターフェイス名> コマンドが設定されている場合、有効になっています。

IKE はデフォルトでは有効になっていません。

この脆弱性は、Cisco Bug ID CSCud20267登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1149 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x/


CSCtg02624 - FWSM HTTP Proxy Traceback Vulnerability

Calculate the environmental score of CSCtg02624

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCud20267 - IKE Version 1 Denial of Service Vulnerability

Calculate the environmental score of CSCud20267

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

これらの脆弱性のいずれかの不正利用が成功した場合、該当デバイスでリロードが発生し、DoS 状態になる可能性があります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

次の表に、FWSM HTTP Proxy Traceback における脆弱性を解消する、修正済みの推奨バージョンを記載します。

Major Release
First Fixed Release
Recommended Release
3.1 Affected; Migrate to 3.2
Migrate to 3.2
3.2 3.2(20.1) 3.2(25)
4.0 4.0(15.2)
Migrate to 4.1
4.1 4.1(5.1) 4.1(12)

次の表に、IKE バージョン 1 における DoS 脆弱性を解消する、修正済みの推奨バージョンを記載します。

Major Release
First Fixed Release
Recommended Release
3.1 Affected; Migrate to 3.2
Migrate to 3.2
3.2 3.2(24.1) 3.2(25)
4.0 Affected; Migrate to 4.1
Migrate to 4.1
4.1 4.1(11.1)
4.1(12)

ソフトウェアのダウンロード

Cisco FWSM ソフトウェアは Cisco.com 内の Software Center からダウンロードできます。http://www.cisco.com/cisco/software/navigator.html


Cisco Catalyst 6500 シリーズ Firewall Services Module については、次の順に移動してください。[Poducts] > [Security] > [Firewalls] > [Firewall Integrated Switch/Router Services] >[Cisco Catalyst 6500 Series Firewall Services Module] > [Firewall Services Module (FWSM) Software]

回避策

管理者が管理用 VPN アクセスを無効にして、代わりに管理用 SSH または HTTPS を使用することで、IKE バージョン 1 における DoS 脆弱性を軽減することができます。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレード ソフトウェアを入手できます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。

  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

多言語による各地の電話番号、説明、E メール アドレスなどの TAC の連絡先情報については、Cisco Worldwide Contact を参照してください。http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

これらの脆弱性は、お客様の問題のトラブルシューティング中に発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1117/1117746_cisco-sa-20130410-fwsm-j.html/

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk

本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。


更新履歴

Revision 1.0 2013-April-10 Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。シスコ セキュリティ アドバイザリについては、すべて http://www.cisco.com/go/psirt/ で確認できます。