Multiple Vulnerabilities in Cisco Intrusion Prevention System Software

2013 年 7 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 7 月 17 日) | フィードバック

Advisory ID: cisco-sa-20130717-ips

http://www.cisco.com/cisco/web/support/JP/111/1118/1118530_cisco-sa-20130717-ips-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2013 July 17 16:00 UTC (GMT)


要約

Cisco 侵入防御システム(IPS)ソフトウェアは、以下の脆弱性の影響を受けます。

  • Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性
  • Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性
  • Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性
  • Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性
Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性があると、認証されていないリモート攻撃者が MainApp プロセスを応答不能にできる可能性があります。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける Dos 脆弱性があると、認証されていないリモート攻撃者がメモリを破壊して Analysis Engine プロセスを応答不能にしたり、該当システムをリロードできる可能性があります。

Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性があると、認証されていないリモート攻撃者が Cisco 侵入防御システム Network Module Enhanced(IPS NME)をリロードできる可能性があります。

Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性があると、認証されていないリモート攻撃者が Cisco Catalyst 6500 シリーズ Intrusion Detection System(IDSM-2)モジュールを応答不能にできる可能性があります。

この脆弱性が悪用されると、Denial of Service(DoS)状態が発生することがあります。

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ただし、Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性は対象外となります。脆弱性のあるバージョンの Cisco IDSM-2 モジュールを使用している場合は、このアドバイザリの「回避策」のセクションで適用可能な緩和策を参照してください。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性および Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性を軽減する回避策があります。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/111/1118/1118530_cisco-sa-20130717-ips-j.html

該当製品

脆弱性が認められる製品

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性

次の製品は、Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性の影響を受けます。
  • バージョン 7.1(4)E4 およびそれ以前の Cisco IPS ソフトウェア 7.1 を実行している Cisco ASA 5500-X シリーズ IPS Security Services Processor(IPS SSP)ソフトウェアおよびハードウェア モジュール
  • Cisco IPS ソフトウェア バージョン 7.1(4)E4 を実行している Cisco IPS 4500 シリーズ センサー
  • Cisco IPS ソフトウェア バージョン 7.1(3)E4 および 7.1(4)E4 を実行している Cisco IPS 4300 シリーズ センサー
注:この脆弱性の影響を受けるのは、Cisco IPS ソフトウェア バージョン 7.1 を実行している製品だけです。バージョン 7.0 以前の Cisco IPS ソフトウェアを実行している製品は影響を受けません。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性

次の製品は、Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性の影響を受けます。
  • Cisco IPS ソフトウェア バージョン 7.1(4)E4 〜 7.1(7)E4 を実行している Cisco ASA 5500-X シリーズ(IPS SSP)ソフトウェア モジュール
注:Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性により影響を受けるのは、Cisco ASA 5500-X シリーズ IPS SSP ソフトウェア モジュールだけです。Cisco ASA 5585-X の Cisco IPS SSP ハードウェア モジュールは、この脆弱性の影響を受けません。

Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性

次の製品は、Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性の影響を受けます。
  • Cisco 侵入防御システム Network Module Enhanced(IPS NME)
Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性

次の製品は、Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性の影響を受けます。
  • Cisco Catalyst 6500 シリーズ Intrusion Detection System(IDSM-2)Module

実行中のソフトウェア バージョンを知る方法

脆弱性のあるバージョンの Cisco IPS ソフトウェアがアプライアンスで実行されているかどうかを確認するには、show version コマンドを実行します。次の例は、ソフトウェア バージョン 7.1(3)E4 を実行している Cisco IPS 4345 を示しています。
sensor# show version
Application Partition:

Cisco Intrusion Prevention System, Version 7.1(3)E4

Host:
    Realm Keys          key1.0
Signature Definition:
    Signature Update    S605.0        2011-10-25
OS Version:             2.6.29.1
Platform:               IPS-4345-K9
Cisco Intrusion Prevention System Device Manager(IDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表内、または Cisco IDM ウィンドウの左上にソフトウェアのバージョンが表示されます。

脆弱性が認められない製品

次の製品は、このアドバイザリに記載される脆弱性の影響を受けません。
  • Cisco IOS IPS
  • Cisco IPS 4200 シリーズ センサー
  • Cisco 侵入防御システム Advanced Integration Module(IPS AIM)
  • Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティ サービス カード(AIP SSC)
  • Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティ サービス モジュール(AIP SSM)
他のシスコ製品においてこの脆弱性の影響を受けるものは、現在確認されていません。

詳細

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性

Cisco IPS は、ネットワークベースの脅威防止サービスを提供するネットワーク セキュリティ デバイス ファミリです。Cisco IPS ソフトウェアに含まれるアプリケーションは、システムによってさまざまなタスクを実行するために使用されます。特に MainApp プロセスは、設定の読み込みや、アプリケーションおよび認証サービスの開始と停止など、いくつかの重要なタスクを処理します。

MainApp プロセスの追加情報については、製品の設定ガイドの「システム アーキテクチャ」セクションを参照してください。
http://www.cisco.com/en/US/docs/security/ips/7.1/configuration/guide/idm/idm_system_architecture.html#wp1126061

IP スタックに脆弱性があると、認証されていないリモート攻撃者が MainApp プロセスを応答不能にできる可能性があります。Cisco IPS センサーでは警告の通知、イベント ストアの管理、センサーの認証など、いくつかの重要なタスクを実行できないため、この脆弱性があると Denial of Service(DoS)状態が発生することがあります。また、MainApp プロセスが応答不能になっているときは、Cisco IPS の Web サーバも使用できなくなります。さらに、この一般的なシステム障害によって、Analysis Engine などの他のプロセスが正しく機能しなくなることがあります。この脆弱性は、該当システムの管理インターフェイスからの不正 IP パケットが不適切に処理されたことに起因します。攻撃者は不正 IP パケットを管理インターフェイスに送信することで、この脆弱性を悪用できる可能性があります。

この脆弱性は、管理インターフェイスを宛先とする IPv4 パケットによってのみ引き起こされます。センサー インターフェイスを通過するトラフィックは、この脆弱性のトリガーとはなりません。Cisco IPS が無差別モードに設定されている場合は、shunrate-limit などの MainApp の処理を必要とする緩和アクションは利用できなくなることがあります。Cisco IPS がインライン モードに設定されている場合は、Analysis Engine プロセスが正しく機能しなくなることがあるため、センサーでインスペクションおよび緩和アクションが正しく実行されない可能性があります。

この脆弱性は、Cisco Bug ID CSCtx18596登録ユーザ専用)および Common Vulnerabilities and Exposures(CVE)ID CVE-2013-1243 として文書化されています。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性

Cisco IPS SSP は、Cisco ASA 5500-X シリーズを実行する統合モジュールです。このモジュールは、Cisco ASA 5585-X のハードウェアに、あるいは Cisco ASA 5512-X、Cisco ASA 5515-X、Cisco ASA 5525-X、Cisco ASA 5545-X、および Cisco ASA 5555-X シリーズの統合ソフトウェア モジュールとして実装できます。

ASA 5500-X IPS SSP プロセスで実行される Cisco IPS ソフトウェアは、Cisco ASA から受信するトラフィックだけを処理します。Cisco ASA は、Modular Policy Framework(MPF)で、特定のトラフィックを Cisco IPS ソフトウェアにリダイレクトするように設定する必要があります。

フラグメント化されたトラフィックを処理するコードの実装に脆弱性があると、認証されていないリモート攻撃者が Analysis Engine プロセスを応答不能にしたり、該当システムをリロードできる可能性があります。

この脆弱性は、インスペクションおよび処理のために Cisco ASA データ プレーンから Cisco IPS プロセッサに送られたフラグメント化された IP パケットが不適切に処理されたことに起因します。攻撃者はフラグメント化された IP パケットと他の IP パケットの組み合わせを該当システムに送信することで、この脆弱性を悪用できる可能性があります。悪用により、攻撃者は該当システムをリロードしたり、Analysis Engine プロセスを応答不能にできる可能性があります。Analysis Engine プロセスが応答不能になると、該当システムがトラフィックを処理しなくなるため、トラフィックが破棄されます。さらに、影響を受けるバージョンのソフトウェアを実行している Cisco IPS SSP ソフトウェアを使用した Cisco IPS が High-Availability(HA)モードに設定されている場合、Cisco ASA SSP のリロード時またはトラフィック転送の中止時にフェールオーバー イベントが引き起こされる可能性があります。

この脆弱性は、該当システムを通過する IPv4 および IPv6 のフラグメント化されたパケットによって引き起こされます。Cisco IPS ソフトウェア モジュールの管理 IP アドレスを宛先とするトラフィックは、この脆弱性のトリガーとはなりません。

注:この脆弱性の影響を受けるのは、Cisco ASA 5500-X シリーズ IPS SSP ソフトウェア モジュールだけです。Cisco ASA5585-X シリーズでサポートされている Cisco IPS SSP ハードウェア モジュールは、この脆弱性の影響を受けません。

この脆弱性は、Cisco Bug ID CSCue51272登録ユーザ専用)として文書化され、CVE ID として CVE-2013-1218 が割り当てられています。

Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性

メモリ割り当てコードに脆弱性があると、認証されていないリモート攻撃者が該当システムをリロードできる可能性があります。この脆弱性は、該当システムの管理インターフェイスから不正 IP パケットを受信したときに、メモリ割り当てが不適切に処理されたことに起因します。攻撃者は不正 IP パケットを管理 IP アドレスに送信することで、この脆弱性を悪用できる可能性があります。

この脆弱性は、管理インターフェイスを宛先とする IPv4 パケットによってのみ引き起こされます。センサー インターフェイスを通過するトラフィックは、この脆弱性のトリガーとはなりません。

この脆弱性の影響を受けるのは、Cisco IPS NME で実行されている Cisco IPS ソフトウェアだけです。

この脆弱性は、Cisco Bug ID CSCua61977登録ユーザ専用)として文書化され、CVE ID として CVE-2013-3410 が割り当てられています。

Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性

IDSM-2 ドライバに脆弱性があると、認証されていないリモート攻撃者がシステム カーネルを応答不能にできる可能性があります。Cisco IPS センサーでは警告の通知、イベント ストアの管理、センサーの認証、トラフィックのインスペクションなど、いくつかの重要なタスクを実行できないため、この脆弱性があると Denial of Service(DoS)状態が発生することがあります。Cisco IPS の Web サーバも使用できなくなります。

この脆弱性は、該当システムの管理インターフェイスからの不正 TCP パケットが不適切に処理されたことに起因します。攻撃者は不正 IP パケットを管理インターフェイスに送信することで、この脆弱性を悪用できる可能性があります。この脆弱性を不正利用する場合、TCP 3 ウェイ ハンドシェイクは必要ありません。ハード システム リブートは、システムの機能を復元するのに必要です。

この脆弱性は、管理インターフェイスを宛先とする IPv4 パケットによってのみ引き起こされます。センサー インターフェイスを通過するトラフィックは、この脆弱性のトリガーとはなりません。

この脆弱性の影響を受けるのは、Cisco IDSM-2 モジュールで実行されている Cisco IPS ソフトウェアだけです。

この脆弱性は、Cisco Bug ID CSCuh27460登録ユーザ専用)として文書化され、CVE ID として CVE-2013-3411 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://tools.cisco.com/security/center/cvssCalculator.x/

CSCtx18596 - Cisco IPS Software Malformed IP Packets Denial of Service Vulnerability

Calculate the environmental score of CSCtx18596

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCue51272 - Cisco IPS Software Fragmented Traffic Denial of Service Vulnerability

Calculate the environmental score of CSCue51272

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCua61977 - Cisco IPS NME Malformed IP Packets Denial of Service Vulnerability

Calculate the environmental score of CSCua61977

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuh27460 - Cisco IDSM-2 Malformed TCP Packets Denial of Service Vulnerability

Calculate the environmental score of CSCuh27460

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 7.0

Exploitability

Remediation Level

Report Confidence

Functional

Workaround

Confirmed


影響

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性が悪用されると、リモートの認証されていない攻撃者が MainApp プロセスを応答不能にしたり、警告の通知、イベント ストアの管理、センサーの認証など、いくつかのタスクを実行不能にできる可能性があります。また、MainApp プロセスが応答不能になっていたり、Analysis Engine プロセスなど他のプロセスが正しく機能していないときは、Cisco IPS の Web サーバも使用できなくなります。

Cisco IPS が無差別モードに設定されている場合は、shunrate-limit などの MainApp の処理を必要とする緩和アクションは利用できなくなることがあります。Cisco IPS がインライン モードに設定されている場合は、Analysis Engine プロセスが正しく機能しなくなることがあるため、センサーでインスペクションおよび緩和アクションを正しく実行できなくなる可能性があります。ハード システム リロードは、該当システムの全機能を復元するのに必要です。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性が悪用されると、リモートの認証されていない攻撃者は該当システムをリロードしたり、Analysis Engine プロセスを応答不能にできる可能性があります。Analysis Engine プロセスが応答不能になると、該当システムがトラフィックを処理しなくなるため、トラフィックが破棄されます。さらに、影響を受けるバージョンのソフトウェアを実行している Cisco IPS SSP ソフトウェアを使用した Cisco IPS が HA モードに設定されている場合、Cisco ASA SSP のリロード時またはトラフィック転送の中止時にフェールオーバー イベントが引き起こされる可能性があります。

Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性があると、リモートの認証されていない攻撃者が a reload of a Cisco IPS NME をリロードできる可能性があります。

Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性が悪用されると、リモートの認証されていない攻撃者が Cisco IDSM-2 モジュールのカーネルを応答不能にし、システムが不安定になる可能性があります。この状態になると、該当システムが警告の通知、イベント ストアの管理、センサーの認証、トラフィックのインスペクションおよび緩和など、いくつかのタスクを実行できなくなります。また、Cisco IPS の Web サーバが使用できなくなり、リモート管理の際にシステムに到達不能になります。

ソフトウェア バージョンおよび修正

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ただし、Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性は対象外となります。脆弱性のあるバージョンの Cisco IDSM-2 モジュールを使用している場合は、このアドバイザリの「回避策」のセクションで適用可能な緩和策を参照してください。

推奨リリース

次の表に、このセキュリティ アドバイザリで説明のあるすべての脆弱性への修正が含まれた Cisco IPS ソフトウェアの推奨リリースを記載します。

Products
Recommended
 Cisco ASA 5500-X Series IPS SSP software modules
 7.1(7)sp1E4 and higher
 Cisco ASA 5585-X Series IPS SSP hardware modules 
 7.1(7)E4 and higher
 Cisco IPS 4500 Series Sensors
 7.1(7)E4 and higher
 Cisco IPS 4300 Series Sensors
 7.1(7)E4 and higher
 Cisco IPS NME  7.0(9)E4 and higher
 Cisco IDSM-2
 No available releases - See "Workarounds" section for available mitigations

次の表に、該当製品ごとに、このアドバイザリで説明のある個々の脆弱性への修正が含まれた最初の修正リリースを記載します。各脆弱性に対する最初の修正リリースは異なるため、この一覧は情報の網羅を目的として提供されています。このアドバイザリで説明のあるすべての脆弱性への修正が含まれたリリースについては前の表を参照してください。

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性

次の表に、該当製品ごとに、Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性の修正リリースを記載します。

Products
Affected Releases
Resolved In
 Cisco ASA 5500-X Series IPS-SSP software and hardware modules
 7.1(x)E4
 7.1(5)E4
 Cisco IPS 4500 Series Sensors
 7.1(4)E4  7.1(6)E4
 Cisco IPS 4300 Series Sensors
 7.1(3)E4 and 7.1(4)E4
 7.1(5)E4

注:Cisco IPS ソフトウェア リリース 7.1(5)E4 は、不安定になる問題があるため、ダウンロードできなくなりました。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性

次の表に、該当製品ごとに、Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性の修正リリースを記載します。

Products
Affected Releases
Resolved In
 Cisco ASA 5500-X Series IPS SSP software modules
 7.1(4)E4 through 7.1(7)E4
 7.1(7)sp1E4

Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性

次の表に、該当製品ごとに、Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性の修正リリースを記載します。

Products
Affected Releases
Resolved In
Cisco Intrusion Prevention System Network Module Enhanced (IPS NME)
 All
 7.0(9)E4

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

回避策

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性および Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性

この脆弱性を軽減する回避策はありません。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性

この脆弱性の悪用によりトラフィックの中断が生じている場合、管理者はユーザ トラフィックを Cisco IPS SSP に誘導するのに使用する Cisco ASA 上で、Modular Policy Framework(MPF)設定を削除することができます。この変更により、すべてのユーザ トラフィックが Cisco ASA-CX モジュール インスペクションをバイパスし、Cisco IPS SSP を通過できるようになります。

次の例は、Cisco ASA ファイアウォールから Cisco IPS ソフトウェア モジュールへの Web トラフィックのリダイレクトを無効にする方法を示しています。
ASA(config)# class-map ips_traffic
ASA(config-cmap)# match any
ASA(config)# policy-map ips_traffic_policy
ASA(config-pmap)# class ips_traffic
ASA(config-pmap-c)# no ips inline|promiscious
注:IPS バイパスを fail-open または fail-close コマンドで設定すると、Cisco ASA の Cisco IPS ソフトウェア モジュールに影響しなくなります。

緩和時など、IPS が無差別モードで実行されている場合は、フラグメント化されたトラフィックを IPS 処理できるように無効にできます。

次の例は、Cisco IPS ソフトウェア モジュールでフラグメント化されたトラフィックを無効にする方法を示しています。
sensor# conf t
sensor(config)# ser sig sig0
sensor(config-sig)# sig 1200 0
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# edit-default-sigs-only default-signatures-only
sensor(config-sig-sig-nor-def)# specify-max-fragments yes
sensor(config-sig-sig-nor-def-yes)# max-fragments 0
sensor(config-sig-sig-nor-def-yes)# exit
sensor(config-sig-sig-nor-def)# exit
sensor(config-sig-sig-nor)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit Apply Changes?[yes]: yes
この変更を行うには、Cisco IPS ソフトウェア モジュールをリロードする必要があります。

注:この変更を行うと、TCP 以外のすべてのフラグメントが検査されないまま通過できるようになってしまいます。

別な方法として、Cisco ASA ファイアウォールでフラグメント化されたトラフィックを拒否することもできます。拒否により Cisco ASA ファイアウォールはそのインターフェイスですべてのフラグメントを受け入れなくなります。この結果、Cisco IPS は Cisco ASA ソフトウェア モジュールに対してインスペクション用のフラグメントを送信しなくなります。

次の例は、Cisco ASA ファイアウォールでフラグメント化されたトラフィックを無効にする方法を示しています。
ASA(config)# fragment chain 1 
注:上の例は、すべての Cisco ASA インターフェイスでフラグメントを無効にします。

Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性

この脆弱性の回避策はありませんが、Cisco IDSM-2 モジュールの管理者は、システムの管理インターフェイスへの接続を許可するホスト(IP アドレス)の数を制限する必要があります。

許可するホストの数を制限するには、access-list コマンドを使用します。no access-list コマンドは、リストからホストまたはネットワークを削除するのに使用します。
次の例は、192.168.1.0/24 ネットワーク全体へのアクセスを削除し、IP アドレスが 192.168.1.1 のホストにのみアクセスを許可する一連のコマンドを示しています。
  • ネットワーク設定モードで show settings コマンドを使用して、現在許可されているホストまたはネットワークを確認することができます。次の例は、Cisco IDSM-2 が 192.168.1.0/24 ネットワーク上のすべてのホストを許可するように設定する方法を示しています。
sensor(config-hos-net)# show settings
   network-settings
   -----------------------------------------------
[...]
      access-list (min: 0, max: 512, current: 1)
      -----------------------------------------------
         network-address: 192.168.1.0/24
         -----------------------------------------------
      -----------------------------------------------
      ftp-timeout: 300 seconds <defaulted>
      login-banner-text: <defaulted>
   [...]
  • ネットワーク設定モードで access-list コマンドを使用して、192.168.1.1 ホストに追加します。これを唯一許可するホストにする場合は、Cisco IDSM-2 モジュールへの接続が失われないように、設定を実行しているホストと同じにする必要があります。
sensor(config-hos-net)#access-list 192.168.1.1/32
  • ネットワーク設定モードで no access-list コマンドを使用して、許可するホスト リストから 192.168.1.0/32 ネットワークを削除します。
sensor(config-hos-net)#no access-list 192.168.1.0/24
  • ネットワーク設定モードで show setting コマンドを使用して、許可するホスト リストが正しいかどうかを確認します。
sensor(config-hos-net)# show settings
   network-settings
   -----------------------------------------------
[...]
      access-list (min: 0, max: 512, current: 1)
      -----------------------------------------------
         network-address: 192.168.1.1/32
         -----------------------------------------------
      -----------------------------------------------
      ftp-timeout: 300 seconds <defaulted>
      login-banner-text: <defaulted>
   [...]
  • 設定を終了し、適用します。
sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
注:シスコによる内部テストでは、許可するホストの合計が 254 ホスト以下の場合は、この脆弱性が悪用できないことが示されています。このアドバイザリに示す数まで許可するホストを減らすことができない場合は、Cisco Technical Assistance Center にお問い合わせください。

このアドバイザリで説明されている脆弱性の追加の緩和情報は、付属する『Applied Mitigation Bulletin』(AMB)に記載されており、以下から入手できます。
http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=29271/

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレード ソフトウェアを入手できます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。
  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

多言語による各地の電話番号、説明、E メール アドレスなどの TAC の連絡先情報については、Cisco Worldwide Contact を参照してください。http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

Cisco IPS ソフトウェアにおける不正 IP パケットに起因する DoS 脆弱性、Cisco IPS NME における不正 IP パケットに起因する DoS 脆弱性、および Cisco IDSM-2 における不正 TCP パケットに起因する DoS 脆弱性は、内部テスト中に発見されたものです。

Cisco IPS ソフトウェアのフラグメント化されたトラフィックにおける DoS 脆弱性は、サポート ケースの解決中に発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1118/1118530_cisco-sa-20130717-ips-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。
  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

更新履歴

Revision 1.0 2013-July-17 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。シスコ セキュリティ アドバイザリについては、すべて http://www.cisco.com/go/psirt/ で確認できます。