Multiple Vulnerabilities in OpenSSL (January 2015) Affecting Cisco Products

2015 年 11 月 25 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2015 年 11 月 13 日) | フィードバック

Advisory ID: cisco-sa-20150310-ssl

http://www.cisco.com/cisco/web/support/JP/112/1128/1128755_cisco-sa-20150310-ssl-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.17

Last Updated 2015 November 13 15:34 UTC (GMT)

For Public Release 2015 March 10 16:00 UTC (GMT)

関連資料:


要約

1 つまたは複数の脆弱性の影響を受ける OpenSSL パッケージ バージョンが複数のシスコ製品に組み込まれています。これらの脆弱性によって、認証されていないリモートの攻撃者によって DoS 状態が発生させられたり、Man-in-the-Middle(中間者)攻撃が実行される可能性があります。2015 年 1 月 8 日、OpenSSL プロジェクトは、相互に独立した 8 つの脆弱性に関するセキュリティ アドバイザリをリリースしました。この脆弱性は、本ドキュメントで次のように言及されています。

  • CVE-2014-3571:OpenSSL の DTLS メッセージ処理の DoS 脆弱性
  • CVE-2015-0206:OpenSSL の dtls1_buffer_record 関数における DTLS メッセージ処理の DoS 脆弱性
  • CVE-2014-3569:OpenSSL の no-ssl3 オプションにおける NULL ポインタ デリファレンスの脆弱性
  • CVE-2014-3572:OpenSSL の Elliptic Curve Cryptography ダウングレードの脆弱性
  • CVE-2015-0204:OpenSSL の RSA Temporary Key Cryptography のダウングレードの脆弱性
  • CVE-2015-0205:OpenSSL の Diffie-Hellman 証明書検証での認証バイバスの脆弱性
  • CVE-2014-8275:OpenSSLの 証明書フィンガープリント検証の脆弱性
  • CVE-2014-3570:OpenSSL の BN_sql 関数の不適切な数値計算結果に関する問題

シスコは、これらの脆弱性に対応するための無償ソフトウェア アップデートをリリースする予定です。

これらの脆弱性を軽減する回避策が利用できる場合があります。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1128/1128755_cisco-sa-20150310-ssl-j.html

該当製品

この不具合については、Cisco Bug Search Tool を使用して確認することが可能で、回避策(可能な場合)や修正されたソフトウェア バージョンなど、プラットフォーム固有の追加情報が提供されます。

脆弱性が認められる製品

次のシスコ製品は、OpenSSL プロジェクトによる 2015 年 1 月 8 日付けのセキュリティ アドバイザリに記載されている 1 つまたは複数の脆弱性の影響を受けることが確認されています。

Product Defect Fixed releases availability
Collaboration and Social Media
Cisco WebEx Meetings Server versions 1.x CSCus42712 2.5MR2 
Cisco WebEx Meetings Server versions 2.x CSCus42712 2.5MR2 
Cisco Webex Social CSCus42817 No further releases are planned.
Endpoint Clients and Client Software
Cisco Agent for OpenFlow CSCus42902
Cisco AnyConnect Secure Mobility Client for Android CSCus42726 4.0.01233 (Android)

Cisco AnyConnect Secure Mobility Client for Apple iOS CSCus42726 3.0.12240 (Apple iOS)
Cisco AnyConnect Secure Mobility Client for desktop platforms CSCus42726 3.1.07021
Cisco Jabber Software Development Kit CSCus42945 11.0(0) (26-Aug-2015)
Cisco Jabber Video for TelePresence (Movi) CSCus42871 4.9 (March 2015)
Cisco Jabber Voice for Android CSCus42947 10.6(1) 
Cisco Jabber for Android CSCus42952 10.6.1
Cisco Jabber for Mac CSCus42939 10.6(1) (Available)
11.0 (July 2014)
Cisco Jabber for Windows CSCut82321 11.0(0) 
10.6(1)
Cisco Jabber for iOS CSCus42953 10.6.2
Cisco WebEx Connect Client for Windows CSCus42966 No further releases scheduled. Advise migration to Cisco Jabber.
Cisco WebEx Meetings for Android CSCus42742 7.0 (Android)
Cisco WebEx Meetings for WP8 CSCus42941 1.0.1k (Available)
Network Application, Service, and Acceleration
Cisco ACE30 Application Control Engine Module CSCus42709
Cisco Wide Area Application Services (WAAS) CSCus42766 5.1.1i (27-May-2015)
6.0.0 (10-Jun-2015)
Network and Content Security Devices
Cisco ASA CX Context-Aware Security CSCus42804 9.3.3.1-13 (July 2015)
Cisco Adaptive Security Appliance (ASA) Software CSCus42901 9.2(3.1) 
9.1(5.106) 
9.0(4.29) 
8.4(7.26) 
Cisco Content Security Management Appliance (SMA) CSCus44454 9.1.2 (15-Jun-2015)
Cisco Email Security Appliance (ESA) CSCus42818 10.0 (Oct 2015)
Cisco FireSIGHT System Software CSCus77211 5.4.0.2
5.4.1.1
Cisco IPS CSCus42768 Cisco IPS 7.1.10 (29-May-2015)
Cisco IPS 7.3.4 (TBD)
Cisco Identity Services Engine (ISE) CSCus42710 1.4 (April 2015)
1.5 (October 2015)
Cisco IronPort Encryption Appliance (IEA) CSCus44478
Cisco NAC Appliance (Clean Access Server) CSCus42836 Patch file is available for vulnerable versions.
Cisco NAC Guest Server CSCus42834 No further releases are planned.
Cisco NAC Manager (Clean Access Manager) CSCus42840 Patch file is available for vulnerable versions.
Cisco Physical Access Gateway CSCus43000 1.5.3 (21-May-2015)
Cisco Secure Access Control Server (ACS) CSCus42781 5.6 (31-Jul-2015)
5.7 (14-Aug-2015)
Cisco Virtual Security Gateway for Microsoft Hyper-V CSCus43003 5.2(1)SV3(1.4) (May 2015)
Cisco Virtual Security Gateway for VMware CSCus43003 5.2(1)SV3(1.4) (May 2015)
Cisco Web Security Appliance (WSA) CSCus42705 9.0.0 (30-Apr-2015)
Network Management and Provisioning
Cisco Application Networking Manager CSCus42821 5.2.6
Cisco Intelligent Automation for Cloud CSCus42852 4.3 (July 2015)
Cisco MATE Design CSCus42772 WAE 6.1.1 (31-Mar-2015)
MATE 6.0.5 (10-Mar-2015)
Cisco MATE Live CSCus42772 WAE 6.1.1 (31-Mar-2015)
MATE 6.0.5 (10-Mar-2015)
Cisco MATE collector CSCus42772 WAE 6.1.1 (31-Mar-2015)
MATE 6.0.5 (10-Mar-2015)
Cisco Netflow Collection Agent CSCus42819 1.0.3 (May 2015)
Cisco Packet Tracer CSCus47080 6.2
Cisco Policy Suite (QPS) CSCus42789
Cisco Prime Access Registrar CSCus42968 7.0.0 (Available)
6.1.3 (Release TBD)
Cisco Prime Collaboration Assurance CSCus42924 No release planned.
Cisco Prime Collaboration Deployment CSCus42954 11.0
Cisco Prime Collaboration Provisioning 10.5 CSCus42816 11.0 (29-May-2015)
Cisco Prime Data Center Network Manager (DCNM) CSCus42763 DCNM 7.1(2) (Late April 2015)
Cisco Prime IP Express CSCus42967 8.3 (Available)
Cisco Prime Infrastructure CSCus42748 3.0
Cisco Prime LAN Management Solution CSCus42883 4.2.5(3) (30-Jun-2015)
Cisco Prime License Manager CSCus42699 11.0 (mid-April 2015)
Cisco Prime Network Analysis Module (NAM) CSCus42792 006.002 (1-Jun-2015)
Cisco Prime Network Registrar (CPNR) CSCus42701 8.3 (Available)
8.2.3 (31-May-2015)
8.1.3.3 (30-Apr-2015)
Virtual Appliance 7.3.2.5 (22-Apr-2015)
Cisco Prime Network Services Controller CSCus42739 3.5.1x (April 2015) Note: PNSC will be no longer be released individually
and instead will be part Intercloud Fabric (ICF) 2.2.1x.
Cisco Prime Network CSCus42882
Cisco Prime Optical for SPs CSCus42879 10.3.0.0.193 (Available)
10.0.0.1.2 (Available
Cisco Prime Performance Manager for SPs CSCus42880 1.6 SP1 
Cisco Prime Security Manager CSCus42841
Cisco Security Manager CSCus42723 4.9 (Aug 2015)
4.7 SP1CP1 (Available) 
Cisco Show and Share (SnS) CSCus42800 5.3.x (20-May-2015)
5.5 (20-May-2015)
5.6 (20-May-2015)
5.6.1 (20-Aug-2015)
Local Collector Appliance (LCA) CSCus42873 2.2.8 
Routing and Switching - Enterprise and Service Provider
Cisco 910 Industrial Router CSCus45971 1.2.1RB1 (15-May-2015)
Cisco ASR 5000 Series CSCus42812 20.0.0 (Available)
Cisco Application Policy Infrastructure Controller CSCus42749 1.0(3f)
1.1(1j) 
Cisco Connected Grid Routers (CGR) CSCus43029 No further releases scheduled (End of Life). Customers are encouraged to upgrade to a supported Cisco IOS Software release.
Cisco IOS Software and Cisco IOS-XE Software CSCus61884 15.5(03)S 
Cisco IOS XR Software CSCus42773
Cisco IOS-XE (WebUI feature only) CSCut32908
Cisco MDS 9000 Series Multilayer Switches CSCus42713 7.2 (29-May-2015)
7.3 (3-Jul-2015)
Cisco Mobile Wireless Transport Manager CSCus42993 6.1.7
Cisco Nexus 1000V Intercloud CSCus42717 2.2.1 (Available)
Cisco Nexus 1000V Series Switches CSCut14256 5.2(1)SV3(1.4) (May 2015)
Cisco Nexus 3X00 Series Switches CSCus43046
Cisco Nexus 4000 Series Switches CSCus42972 4.1(2)E1(1o) (15-May-2015)
Cisco Nexus 5000 Series Switches CSCus42713 7.2 (29-May-2015)
7.3 (3-Jul-2015)
Cisco Nexus 6000 Series Switches CSCus42713 7.2 (29-May-2015)
7.3 (3-Jul-2015)
Cisco Nexus 7000 Series Switches CSCus42713 7.2 (29-May-2015)
7.3 (3-Jul-2015)
Cisco Nexus 9000 Series Switches CSCus42784 7.0(3)I2(1) (Available)
Cisco ONS 15400 Series CSCus42787 10.51 (20-Nov-2015)
Cisco OnePK All-in-One VM CSCus42732 Admin to update package via CLI
Routing and Switching - Small Business
Cisco WAG310G Residential Gateway CSCus43007
Unified Computing
Cisco UCS C-Series (Standalone Rack) Servers CSCus42715 2.0.4 (Apr 2015)
Cisco UCS Central CSCus42724 1.3 (March 2015)
Cisco UCS Invicta Series Solid State Systems CSCus42989 5.0.1.2b (April 2015)
Cisco Unified Computing System B-Series (Blade) Servers CSCus61833 2.2(4a) (Available)
2.2(5a) (22-May-2015)
3.1(1a) (TBD)
Voice and Unified Communications Devices
Cisco ATA 187 Analog Telephone Adaptor CSCus42814 Fix release due March 2016
Cisco ATA 190 Series Analog Telephone Adapter CSCus42791 1.2.1 (30-Jun-2015)
Cisco Agent Desktop CSCus42910 10.0(2)
Cisco Computer Telephony Integration Object Server (CTIOS) CSCut45829 11.0 (30-Apr-2015)
Cisco DX Series IP Phones CSCut08817 10.2.4 (5-Jun-2015)
Cisco Emergency Responder CSCus42904 11.0
Cisco Finesse CSCus42853
Cisco Hosted Collaboration Mediation Fulfillment CSCus42794 10.6.1 
Cisco IP Interoperability and Collaboration System (IPICS) CSCus43020 4.9(2) (July 2015)
Cisco IP Phone 8800 Series
CSCuw30989
11.0
Cisco MediaSense CSCus42906 11.0(1) (Release Date TBD)
Cisco MeetingPlace CSCus42786 8.6 Maintenance Release (15-Jun-2015)
Cisco Paging Server (Informacast) CSCus42905 11.0.1 (May 2015)
Cisco Paging Server CSCus42905 11.0.1 (May 2015)
Cisco SPA112 2-Port Phone Adapter CSCus42824 1.3.7 (31-Dec-2015)
Cisco SPA122 ATA with Router CSCus42824 1.3.7 (31-Dec-2015)
Cisco SPA232D Multi-Line DECT ATA CSCus42824 1.3.7 (31-Dec-2015)
Cisco SocialMiner CSCus42851 11.0(1) (30-Aug-2015)
Cisco Unified 6900 series IP Phones CSCus42734 9.4(1)ES12 (11 Nov 2015)
Cisco Unified 7800 series IP Phones CSCus42707 10.4.1 (August 2015)
Cisco Unified 8945 IP Phone CSCus42735 9.4(2)2SR2 (11-Dec-2015)
Cisco Unified 8961 IP Phone CSCus42706 9.4(2)SR2 (Release Date TBD)
Cisco Unified 9951 IP Phone CSCus42706 9.4(2)SR2 (Release Date TBD)
Cisco Unified 9971 IP Phone CSCus42706 9.4(2)SR2 (Release Date TBD)
Cisco Unified Attendant Console (all editions) CSCus42803 11.0.1 (Sep 2015)
Cisco Unified Attendant Console Standard CSCus42959 Patch files are available for vulnerable releases.
Cisco Unified Communication Manager IM and Presence Service (CUPS) CSCus42751 11.0 (Available)
Cisco Unified Communications Domain Manager CSCus42711 10.1(2)
Cisco Unified Communications Manager (UCM) CSCus60116 10.5.2 (Available)
10.5.2 SU2 (Available)
9.1.2 SU3 (TBD)
8.6.2 (TBD)
Cisco Unified Communications Manager Session Management Edition (SME) CSCus60116 10.5.2 (Available)
10.5.2 SU2 (Available)
9.1.2 SU3 (TBD)
8.6.2 (TBD)
Cisco Unified Contact Center Enterprise CSCut45829 11.0 (30-Apr-2015)
Cisco Unified Contact Center Express CSCus42785 11.0(1) (June 2015)
Cisco Unified IP Conference Phone 8831 CSCus42757
Cisco Unified IP Conference Station 7937G CSCus42758 10.3.2 (Sep 2015)
Cisco Unified IP Phone 7900 Series CSCus42733 9.4(2)SR2 (11-Nov-2015)
Cisco Unified Intelligence Center CSCus42908
Cisco Unified Intelligent Contact Management Enterprise CSCut45829 11.0 (30-Apr-2015)
Cisco Unified Sip Proxy CSCus42917
Cisco Unified Workforce Optimization CSCus42996 10.5 SR6 
11.0
Cisco Unity Connection (UC) CSCus42900 11.0(0.72)
Cisco Virtualization Experience Media Engine CSCus42958 Windows 10.6.0.10706 (Available)
Windows 10.6.0.10730 (Available)
Linux 10.6.0-203 (Available)
Linux 10.6.0-221 (Available)
Video, Streaming, TelePresence, and Transcoding Devices
Cisco AnyRes Live (CAL) CSCus42909 9.5.0
Cisco D9036 Modular Encoding Platform CSCus42887 V02.03.30
Cisco Edge 300 Digital Media Player CSCus42801 1.6RB2 (Available)
Cisco Edge 340 Digital Media Player CSCus43052 Patch file available for vulnerable releases. (4-Apr-2015)
Cisco Enterprise Content Delivery System (ECDS) CSCum57065 2.6.4 (mid-May 2015)
Cisco Expressway Series CSCus42702 X8.5.1 
Cisco Internet Streamer CDS CSCus42921 VDS-IS 3.3.1 (30-Jun-2015)
VDS-IS 4.2.0 (31-Jul-2015)
Cisco Model D9485 DAVIC QPSK CSCus43043 1.2.19
Cisco TelePresence 1310 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence Advanced Media Gateway Series CSCus42833 1.1(1.40) (Available)
Cisco TelePresence Conductor CSCus42987 XC3.0.1
Cisco TelePresence Content Server (TCS) CSCus42976 6.2
Cisco TelePresence EX Series CSCus42827 7.3.1
Cisco TelePresence ISDN GW 3241 CSCus42753 2.2 Maintenance Release (mid May 2015)
Cisco TelePresence ISDN GW MSE 8321 CSCus42753 2.2 Maintenance Release (mid May 2015)
Cisco TelePresence ISDN Link CSCus42828 1.1.5 (June 2015)
Cisco TelePresence MCU (8510, 8420, 4200, 4500 and 5300) CSCus42831 4.5 Maintenance Release (July 2015)
Cisco TelePresence MX Series CSCus42827 7.3.1
Cisco TelePresence Profile Series CSCus42827 7.3.1
Cisco TelePresence SX Series CSCus42827 7.3.1
Cisco TelePresence Serial Gateway Series CSCus42754 1.0(1.42) 
Cisco TelePresence Server 8710, 7010 CSCus42752 4.1 (Mar 2015)
Cisco TelePresence Server on Multiparty Media 310, 320 CSCus42752 4.1 (Mar 2015)
Cisco TelePresence Server on Virtual Machine CSCus42752 4.1 (Mar 2015)
Cisco TelePresence Supervisor MSE 8050 CSCus42755 2.3(1.38) 
Cisco TelePresence System 1000 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence System 1100 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence System 1300 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence System 3000 Series CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence System 500-32 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence System 500-37 CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence TE Software (for E20 - EoL) CSCus42829 4.1.6
Cisco TelePresence TX 9000 Series CSCus42737 1.10.11 (30-Apr-2015)
6.1.8 (30-Apr-2015)
Cisco TelePresence Video Communication Server (VCS) CSCus42702 X8.5.1 
Cisco Telepresence Integrator C Series CSCus42827 7.3.1
Cisco VDS Service Broker CSCus43022
Cisco Video Surveillance 3000 Series IP Cameras CSCus42721 2.7 (30-Jul-2015)
Cisco Video Surveillance 4000 Series High-Definition IP Cameras CSCus42983 2.4.6 (30-Jul-2015)
Cisco Video Surveillance 4300E/4500E High-Definition IP Cameras CSCus42982 3.2.7 (30-Jul-2015)
Cisco Video Surveillance 6000 Series IP Cameras CSCus42721 2.7 (30-Jul-2015)
Cisco Video Surveillance 7000 Series IP Cameras CSCus42721 2.7 (30-Jul-2015)
Cisco Video Surveillance Media Server CSCus43015 7.7 
Cisco Video Surveillance Operations Manager CSCus43016 7.7.0 (15-Aug-2015)
Cisco Video Surveillance PTZ IP Cameras CSCus42721 2.7 (30-Jul-2015)
Cisco Videoscape Control Suite CSCus43009 3.6 (Available)
Cloud Object Store (COS) CSCus43014 2.1.2 (Available)
3.0.0 (27-May-2015)
Media Services Interface CSCus43013 No further releases planned.
Tandberg Codian ISDN GW 3210/3220/3240 CSCus42753 2.2 Maintenance Release (mid May 2015)
Tandberg Codian MSE 8320 model CSCus42753 2.2 Maintenance Release (mid May 2015)
Wireless
Cisco IOS Access Points CSCus42764 15.5(03)S (Available)
Cisco Mobility Services Engine (MSE) CSCus42729 8.0.110.002
Cisco Wireless Lan Controller (WLC) CSCus42727 7.0.252.0 (Available)
7.4.140.0 (Available)
8.1.102.0 (Available)
8.0.120.0 (June 2015)
7.6.130.26 (Contact Cisco TAC for this version)
Cisco Hosted Services
Cisco Common Services Platform Collector CSCus95785
Cisco Network Configuration and Change Management Service CSCus42860 1.5 (Available)
Cisco Proactive Network Operations Center CSCus42796
Cisco Universal Small Cell 5000 Series running V3.4.2.x software CSCus42775 3.5.11.11
3.4.5.7 
Cisco Universal Small Cell 7000 Series running V3.4.2.x software CSCus42775 3.5.11.11
3.4.5.7 
Network Performance Analytics (NPA) CSCus42893 1.11.3 (30-Aug-2015)


脆弱性が認められない製品

分析の結果、次のシスコ製品は、前記のいずれの脆弱性の影響も受けないことがわかっています。

Collaboration and Social Media
  • Cisco WebEx Node for MCS

Endpoint Clients and Client Software
  • Cisco IP Communicator
  • Cisco NAC Agent for Mac
  • Cisco NAC Agent for Web
  • Cisco NAC Agent for Windows
  • Cisco UC Integration for Microsoft Lync
  • Cisco Unified Personal Communicator
  • Cisco Unified Video Advantage
  • Cisco WebEx Meetings (client)
  • Cisco WebEx Meetings for BlackBerry
  • Cisco WebEx Productivity Tools
  • Cisco Webex App for iOS

Network Application, Service, and Acceleration
  • Cisco Application and Content Networking System (ACNS)
  • Cisco Extensible Network Controller (XNC)

Network and Content Security Devices
  • Cisco Adaptive Security Device Manager
  • Cisco Physical Access Manager

Network Management and Provisioning
  • Cisco Configuration Professional
  • Cisco Connected Grid Device Manager
  • Cisco Connected Grid Network Management System
  • Cisco Discovery Service
  • Cisco Insight Reporter
  • Cisco Linear Stream Manager
  • Cisco Multicast Manager
  • Cisco Prime Analytics
  • Cisco Prime Cable Provisioning
  • Cisco Prime Central for SPs
  • Cisco Prime Home
  • Cisco SON Suite
  • Cisco Unified Provisioning Manager (CUPM)
  • CiscoWorks Network Compliance Manager
  • Digital Media Manager 5.4

Routing and Switching - Enterprise and Service Provider
  • Cisco Broadband Access Center Telco Wireless
  • Cisco Prime Provisioning for SPs
  • Cisco Service Control Operating System

Routing and Switching - Small Business
  • Cisco VEN401 Wireless Access Point
  • Cisco VEN501 Wireless Access Point

Voice and Unified Communications Devices
  • Cisco Desktop Collaboration Experience DX650
  • Cisco Packaged Contact Center Enterprise
  • Cisco Remote Silent Monitoring
  • Cisco SPA8000 8-port IP Telephony Gateway
  • Cisco SPA8800 IP Telephony Gateway with 4 FXS and 4 FXO Ports
  • Cisco Unified Communications Domain Manager
  • Cisco Unified 3900 series IP Phones
  • Cisco Unified Client Services Framework
  • Cisco Unified Communications Sizing Tool
  • Cisco Unified Communications Widgets Click To Call
  • Cisco Unified E-Mail Interaction Manager
  • Cisco Unified Integration for IBM Sametime
  • Cisco Unified Web Interaction Manager
  • Cisco Virtual PGW 2200 Softswitch
  • Cisco Voice Portal (CVP)
  • xony VIM/CCDM/CCMP

Video, Streaming, TelePresence, and Transcoding Devices
  • Cisco AnyRes VOD (CAV)
  • Cisco D9034-S Encoder
  • Cisco D9054 HDTV Encoder
  • Cisco D9804 Multiple Transport Receiver
  • Cisco D9824 Advanced Multi Decryption Receiver
  • Cisco D9854/D9854-I Advanced Program Receiver
  • Cisco D9858 Advanced Receiver Transcoder
  • Cisco D9859 Advanced Receiver Transcoder
  • Cisco D9865 Satellite Receiver
  • Cisco DCM Series 9900-Digital Content Manager
  • Cisco Digital Media Players
  • Cisco TelePresence Exchange System (CTX)
  • Cisco TelePresence Management Suite (TMS)
  • Cisco TelePresence Management Suite Analytics Extension (TMSAE)
  • Cisco TelePresence Management Suite Extension (TMSXE)
  • Cisco TelePresence Management Suite Extension for IBM
  • Cisco TelePresence Management Suite Provisioning Extension

Wireless
  • Cisco Wireless Location Appliance

Cisco Hosted Services
  • Cisco Connected Analytics For Collaboration
  • Cisco Install Base Management (IBM)
  • Cisco Registered Envelope Service (CRES)
  • Cisco Services Platform Collector (CSPC)
  • Cisco SmartConnection
  • Cisco SmartReports
  • Cisco WebEx WebOffice & Workspace
  • Cisco Webex Messenger Service
  • Connected Analytics for Network Deployment (CAND)
  • Services Analytic Platform
  • Webex Meeting Center

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

2015 年 1 月 8 日、OpenSSL プロジェクトが 8 つの脆弱性を公開しました。1つまたは複数の脆弱性が OpenSSL を実装したクライアントまたはサーバに影響を与える可能性があります。脆弱性の名称および関連する Common Vulnerabilities and Exposures(CVE)ID は、以下のとおりです。

これらの脆弱性がシスコ製品に与える影響は、製品によって異なる可能性があります。

シスコ製品については、本ドキュメントの「該当製品」リストの Cisco Bug ID 情報を参照してください。追加情報や詳しい手順は、シスコの各製品のインストール ガイド、コンフィギュレーション ガイド、メンテナンス ガイドに記載されています。さらに説明やアドバイスが必要な場合、サポート担当者にお問い合わせください。

OpenSSL の DTLS メッセージ処理の DoS 脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者によって Denial of Service(DoS)状態が発生させられる可能性があります。

この脆弱性は、ネットワーク メッセージの不適切な処理に起因します。攻撃者は、ターゲット システムに不正なネットワーク メッセージを送信することにより、この脆弱性を不正利用する可能性があります。

この脆弱性には CVE ID として CVE-2014-3571 が割り当てられています。

OpenSSL の dtls1_buffer_record 関数における DTLS メッセージ処理の DoS 脆弱性

OpenSSL には、認証されていないリモートの攻撃者が Denial of Service(DoS)状態を引き起こす可能性のある脆弱性が存在します。

この脆弱性は、巧妙に細工された Datagram Transport Layer Security(DTLS)パケットが該当ソフトウェアで処理される際に生じるエラー状態に起因します。認証されていないリモートの攻撃者は、該当する OpenSSL ベース サーバに巧妙に細工された DTLS パケットを送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はメモリ リソースを過剰に消費させ、結果的に DoS 状態を引き起こす可能性があります。

この脆弱性には CVE ID として CVE-2015-0206 が割り当てられています。

OpenSSL の no-ssl3 オプションにおける NULL ポインタ デリファレンスの脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者によって該当システムに Denial of Service(DoS)状態が発生させられる可能性があります。

この脆弱性は、OpenSSL ビルド設定の不適切な実装に起因します。認証されていないリモートの攻撃者は、巧妙に細工された SSL 3.0 ハンドシェイク要求をターゲット クライアントに送信することにより、この脆弱性を不正利用する可能性があります。この要求が処理されると、該当ソフトウェアが異常終了し、DoS 状態になる可能性があります。

この脆弱性には CVE ID として CVE-2014-3569 が割り当てられています。

OpenSSL の Elliptic Curve Cryptography ダウングレードの脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者によってダウングレード攻撃が実行される可能性があります。

この脆弱性は、該当ソフトウェアによる一時的な Elliptic Curve Diffie-Hellman(ECDH)Ciphersuite の実装が安全でないことに起因します。認証されていないリモートの攻撃者は、巧妙に細工されたハンドシェーク要求をターゲット クライアント システムに送信することにより、この脆弱性を不正利用する可能性があります。攻撃者は、この要求の処理時にサーバをダウングレードして強度の低い暗号プロトコルを使用させることで、そのシステムから機密情報を取得する可能性があります。

この脆弱性には CVE ID として CVE-2014-3572 が割り当てられています。

OpenSSL の RSA Temporary Key Cryptography のダウングレードの脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者がセキュリティ制限を回避できる可能性があります。

この脆弱性は、RSA Temporary Key の不適切な処理に起因します。ネットワーク経路上の特定の位置にいる攻撃者が、脆弱性のある OpenSSL ライブラリを使用するアプリケーションを使用するシステムに、強度の低い RSA Temporary Key を返すことにより、この脆弱性を不正利用する可能性があります。セキュリティ レベルの低い一時キーが処理されると、暗号強度が低下し、攻撃者がセキュリティ保護機能を回避できる可能性があります。

この脆弱性には CVE ID として CVE-2015-0204 が割り当てられています。

OpenSSL の Diffie-Hellman 証明書検証での認証バイバスの脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者が特定のセキュリティ制限を回避し、該当システム上の機密情報にアクセスできる可能性があります。

この脆弱性は、該当ソフトウェアによる不適切な証明書検証に起因します。認証されていないリモートの攻撃者は、巧妙に細工された Diffie-Hellman 証明書を certificate verify メッセージを付けずに該当サーバに送信することで、この脆弱性を不正利用する可能性があります。このような証明書が処理されると、攻撃者は特定のセキュリティ制限を回避し、そのシステム上の機密情報にアクセスできる可能性があります。

この脆弱性には CVE ID として CVE-2015-0205 が割り当てられています。

OpenSSLの 証明書フィンガープリント検証の脆弱性

OpenSSL の脆弱性により、認証されていないリモートの攻撃者が、該当ソフトウェアで実装されているフィンガープリントベースの証明書検証メカニズムを回避できる可能性があります。

この脆弱性は、該当ソフトウェアで証明書データに適用される制限が不十分であることに起因します。攻撃者は、巧妙に細工されたデータを証明書の無署名部分に入れて送信し、これが該当ソフトウェアで処理されるようにすることで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当ソフトウェアによって実装されているフィンガープリントベースの証明書ブラックリスト保護メカニズムを回避できる可能性があります。

この脆弱性には CVE ID として CVE-2014-8275 が割り当てられています。

OpenSSL の BN_sql 関数の不適切な数値計算結果に関する問題

OpenSSL の問題により、不正確な数値計算結果が生じる可能性があります。

この問題は、BN_sql 関数で BIGNUM 値の 2 乗が正しく計算されないことが原因です。認証されていないリモートの攻撃者が未知のベクターを使用して、この問題を不正利用する可能性があります。この不正利用に成功した場合、ソフトウェアによる計算結果が不正確になる可能性があります。

報告には、攻撃者はこのバグによるトリガーのタイミングを制御できず、秘密キー マテリアルが関与しないため、既知の不正利用はなく、単純なバグ攻撃は失敗すると記載されています。

この脆弱性には CVE ID として CVE-2014-3570 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュ・潟eィ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://intellishield.cisco.com/security/alertmanager/cvss


CVE-2014-3571: OpenSSL DTLS Message Processing Denial of Service Vulnerability

Calculate the environmental score of CVE-2014-3571

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Partial

CVSS Temporal Score - 3.7

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2015-0206: OpenSSL dtls1_buffer_record Function DTLS Message Processing Denial of Service Vulnerability

Calculate the environmental score of
CVE-2015-0206

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Partial

CVSS Temporal Score - 3.7

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2014-3569: OpenSSL no-ssl3 Option NULL Pointer Dereference Vulnerability

Calculate the environmental score of CVE-2014-3569

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Partial

CVSS Temporal Score - 3.7

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2014-3572: OpenSSL Elliptic Curve Cryptographic Downgrade Vulnerability

Calculate the environmental score of CVE-2014-3572

CVSS Base Score - 4.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

Partial

None

None

CVSS Temporal Score - 3.2

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2015-0205: OpenSSL Diffie-Hellman Certificate Validation Authentication Bypass Vulnerability

Calculate the environmental score of CVE-2015-0205

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

Partial

None

CVSS Temporal Score - 3.7

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2015-0204: OpenSSL RSA Temporary Key Cryptographic Downgrade Vulnerability

Calculate the environmental score of CVE-2015-0204

CVSS Base Score - 4.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

Partial

None

None

CVSS Temporal Score - 3.6

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed



CVE-2014-8275: OpenSSL Certificate Fingerprint Validation Vulnerability

Calculate the environmental score of CVE-2014-8275

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

Partial

None

CVSS Temporal Score - 3.7

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed



CVE-2014-3570: OpenSSL BN_sql Function Incorrect Mathematical Results Issue

Calculate the environmental score of CVE-2014-3570

CVSS Base Score - 2.6

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

High

None

Partial

None

None

CVSS Temporal Score - 1.9

Exploitability

Remediation Level

Report Confidence

Unproven

Official-Fix

Confirmed

影響

これらの脆弱性の不正利用によって、攻撃者は Man-in-theーMiddle(MitM)攻撃を実行したり、DoS 状態を発生させる可能性があります。

特定のシスコ製品への影響を確認するには、Cisco Bug Search Tool を使用して Cisco Bug ID を参照してください。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

回避策

特定のシスコ製品の回避策を確認するには、Cisco Bug Search Tool を使用して Cisco Bug ID を参照してください。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。
お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。
  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • Eメール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

2015 年 3 月上旬、CVE-2015-0204:OpenSSL の RSA Temporary Key Cryptography のダウングレードの脆弱性は、RSA-EXPORT キーに対する因数分解攻撃(通称 FREAK)に関して実施された調査により、メディアの注目を集めました。

これらの脆弱性は 2015 年 1 月 5 日に OpenSSL プロジェクトによって公開されたものです。Cisco PSIRT は、FREAK に関する議論の拡大を受けて、シスコのセキュリティ脆弱性公開ポリシーに従い公開リリース ノートを通じてシスコ製品への影響の公開を開始しました。

この通知のステータス:Final

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。新しい情報が入り次第、このドキュメントは更新される予定です。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security に掲載されます。
http://www.cisco.com/cisco/web/support/JP/112/1128/1128755_cisco-sa-20150310-ssl-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の電子メールで配信されています。
  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • fulldisclosure@seclists.org
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

今後のドキュメントや関連コンテンツの入手手順については、Security Vulnerability Policy ページの Receiving Security Vulnerability Information from Cisco を参照してください。

更新履歴

Revision 1.17 2015-November-13 Updated first fixed releases for the APIC from 1.1(0.625), 1.0(2.136a) to 1.1(1j) and 1.0(3f)
Revision 1.16 2015-September-22 Added Cisco IP Phone 8800 Series to affected products section.
Revision 1.15 2015-June-02 Updated fixed releases availability.
Revision 1.14 2015-May-28 Moved the Cisco Mobility Services Engine (MSE) to an affected product. Updated Fixed releases availability.
Revision 1.13 2015-May-14 Updated Vulnerable Products Fixed releases availability column.
Revision 1.12 2015-May-06 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.11 2015-April-30 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.10 2015-April-27 Updated the Vulnerable Products fixed column. Added Cisco IOS Access Points to under investigation.
Revision 1.9 2015-April-17 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.8 2015-April-13 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.7 2015-April-09 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections. Removed End of Life product - Cisco Small Business ISA500 Series Integrated Security Appliances.
Revision 1.6 2015-April-02 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.5 2015-March-26 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections. Several End of Life products were removed from the advisory.
Revision 1.4 2015-March-19 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections. Added Cisco TelePresence IP Gateway Series to the advisory.
Revision 1.3 2015-March-16 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.2 2015-March-13 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.1 2015-March-11 Moved Cisco Content Security Management Appliance (SMA) from Not Vulnerable, to under Investigation. Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.0 2015-March-10 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html を参照してください。この Web ページには、Cisco Security Advisory に関してメディアが問い合わせる際の指示が掲載されています。すべての Cisco Security Advisory は、http://www.cisco.com/go/psirt/ で確認することができます。