セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA および AnyConnect を使用するときプードルおよびプードルかみ傷脆弱性を露呈されないようにして下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 5 日) | フィードバック

概要

Secure Sockets Layer (SSL) 接続のために適応性があるセキュリティ アプライアンス モデル(ASA)および AnyConnect を使用するとき Downgraded レガシー 暗号化(プードル)脆弱性のパッディング Oracle を避けるために必要があるものをこの資料に記述されていますする。

著者:Cisco TAC エンジニア、Atri Basu

背景説明

Transport Layer Security バージョン 1 (TLSv1)プロトコルのプードル脆弱性影響ある特定の実装はリモート攻撃者非認証が機密情報にアクセスするようにし。

脆弱性は Cipher Block Chaining (CBC)モードを使用するとき TLSv1 で設定される不適当なブロック 暗号パッディングが原因です。 攻撃者は暗号メッセージの「神託埋め込み」側チャネル 攻撃を行うために脆弱性を不正利用する可能性があります。 正常なエクスプロイトは攻撃者が機密情報にアクセスすることを可能にする可能性があります。

問題

ASA は 2 フォームの着信 SSL 接続を可能にします:

  1. Clientless WebVPN
  2. AnyConnect Client

ただし、ASA または AnyConnect クライアントの TLS 実装のどれもプードルから影響を受けません。 その代り、SSLv3 実装はどのクライアントでも(ブラウザか AnyConnect) SSLv3 をネゴシエートするこの脆弱性に敏感ですように影響を受けています。

注意: しかしプードルかみ傷は ASA の TLSv1 に影響を与えます。 影響を受けた製品および修正に関する詳細については、CVE-2014-8730 を参照して下さい。

解決策

Cisco はこの問題にこれらのソリューションを設定しました:

  1. 以前(ネゴシエートされた) SSLv3 を非難されたダウンロードのために利用可能 な バージョンが(v3.1x および v4.0 両方) SSLv3 をサポートし、従ってそれらは問題に敏感ネゴシエートしないではないです AnyConnect のすべてのバージョン。

  2. ASA の既定のプロトコル設定は SSLv3 から TLSv1.0 に着信接続が TLS をサポートするクライアントからある限り、それがネゴシエートされるものがであるように変更されました。

  3. ASA はこのコマンドで特定の SSL プロトコルだけ受け入れるために手動で設定することができます:

    ssl server-version

    ソリューション 1 に言及されているように、AnyConnect 現在サポートされたクライアントのどれも SSLv3 をもうネゴシエートしません、従ってクライアントはこれらのコマンドのどちらかで設定されたあらゆる ASA に接続し損います:
    ssl server-version sslv3
    ssl server-version sslv3-only

    ただし、どので SSLv3 ネゴシエーションが特に使用されるか非難された v3.1.x AnyConnect バージョンおよび v3.0.x を使用する配備のために(ある 3.1.05182) AnyConnect すべてのビルド バージョン PRE は、および、唯一のソリューション SSLv3 の使用を除去するか、またはクライアントをアップグレードと考慮することです。

  4. プードルかみ傷(Cisco バグ ID CSCus08101)のための実際の修正は暫定リリース バージョンだけに統合されています。 問題を解決する修正がある ASA バージョンにアップグレードできます。 Cisco Connection Online (CCO)の最初の利用可能 なバージョンはバージョン 9.3(2.2) です。 

    この脆弱性のための最初の固定 ASA ソフトウェア リリースは次の通りです:
    • 8.2 トレイン:   8.2.5.55
    • 8.4 トレイン:   8.4.7.26
    • 9.0 トレイン:   9.0.4.29
    • 9.1 トレイン:   9.1.6
    • 9.2 トレイン:   9.2.3.3
    • 9.3 トレイン:   9.3.2.2

TLSv1.2

  • ASA はソフトウェア バージョン 9.3(2) の時点で TLSv1.2 をサポートします。
  • AnyConnect バージョン 4.x クライアントはすべて TLSv1.2 をサポートします。

この場合、次を意味します。

  • Clientless WebVPN を使用する場合、このソフトウェアのバージョンを実行したりまたはより高く TLSv1.2 をネゴシエートできますどの ASA でも。

  • AnyConnect クライアントを使用する場合、TLSv1.2 を使用するために、バージョン 4.x クライアントにアップグレードする必要があります。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118780