Multiple Vulnerabilities in ntpd (April 2015) Affecting Cisco Products

2015 年 9 月 11 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2015 年 9 月 9 日) | フィードバック

Advisory ID: cisco-sa-20150408-ntpd

http://www.cisco.com/cisco/web/support/JP/112/1128/1128965_cisco-sa-20150408-ntpd-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.10

Last Updated 2015 September 9 13:40 UTC (GMT)

For Public Release 2015 April 8 16:00 UTC (GMT)

関連資料:

関連する Applied Mitigation Bulletin の表示

要約

複数のシスコ製品に、ntpd パッケージが統合されています。このパッケージの複数のバージョンは 1 つ以上の脆弱性の影響を受けるため、認証されていないリモートの攻撃者によって認証コントロールがバイパスされたり、サービス拒否(DoS)状態が引き起こされる可能性があります。

2015 年 4 月 7 日に、NTP.org および US-CERT は、認証コントロールのバイパスに関する 2 つの問題に対処するためのセキュリティ アドバイザリをリリースしました。これらの脆弱性は、本ドキュメントで次のように言及されています。

  • CVE-2015-1798:NTP 認証バイパスの脆弱性
  • CVE-2015-1799:NTP 認証で対称アソシエーションが DoS 攻撃から保護されない
シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。

これらの脆弱性に対しては回避策があります。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1128/1128965_cisco-sa-20150408-ntpd-j.html

該当製品

脆弱性が認められる製品

CVE-2015-1798 と CVE-2015-1799 に記載された脆弱性のどちらか一方または両方の影響を受ける製品とサービスを、次の表に示します。

Product Defect Fixed releases availability
Network Application, Service, and Acceleration
Cisco Application Control Engine (ACE30/ ACE 4710) CSCut83796
Cisco Wide Area Application Services (WAAS) CSCut77531 5.3.5d (31-May-2015)
Network and Content Security Devices
Cisco ASA CX and Cisco Prime Security Manager CSCut77532 A patch file will be available for affected releases (Aug 2015)
Cisco Clean Access Manager CSCut77524 Pending CentOS fix
Cisco Identity Services Engine (ISE) CSCut77541 Pending RHEL fix
Cisco Intrusion Prevention System Solutions (IPS) CSCut77568 7.3.4 (Available July 2015)
7.1.11 (31-Oct-2015)
Cisco NAC Appliance (Clean Access Server) CSCut77525 Pending CentOS fix
Cisco NAC Guest Server CSCut77528 Pending CentOS fix
Cisco Physical Access Control Gateway CSCut77535 1.5.3 (15-May-2015)
Cisco Secure Access Control Server (ACS) CSCut77567 5.7 (30-May-2015)
Cisco Virtual Security Gateway for Microsoft Hyper-V CSCut77418 5.2(1)VSG2(1.3) (30-Apr-2015)
Network Management and Provisioning
Cisco Application Networking Manager CSCut77402 Pending CentOS fix
Cisco Prime Collaboration Assurance CSCut77459 11.0 (6-Jul-2015)
Cisco Prime Collaboration Provisioning CSCut77458 11.0 (6-Jul-2015)
Cisco UCS Central CSCut77422 1.4.1 (30-Oct-2015)
Cisco Virtual Topology System (formally Virtual Systems Operations Center) CSCut77466 1.5 (April 2015)
2.0 (July 2015) 
Routing and Switching - Enterprise and Service Provider
Cisco Application Policy Infrastructure Controller (APIC) CSCut77409 1.1(1) (Available)
Cisco IOS XR Software CSCut77468 Pending
Cisco IOS and Cisco IOS XE Software CSCut77619 15.5(3)M (31-Jul-2015)
XE3.16.0S-15.5(3)S (July 2015)
Cisco MDS 9000 Series Multilayer Switches CSCut77411 5.2(8g) (30-Jun-2015)
6.2(11c) (15-Jun-2015)
6.2(13) (15-Jul-2015)
Cisco Nexus 1000V Series Switches CSCut77414 5.2(1)SV3(2.1) (August 2015)
Cisco Nexus 3000 Series Switches CSCut77415 6.0(2)U7(1)
6.0(2)A7(1)
Cisco Nexus 5000 Series Switches CSCut77416 7.2 (31-May-2015)
Cisco Nexus 6000 Series Switches CSCut77417 7.2 (30-June-2015)
Cisco Nexus 7000 Series Switches CSCut77412 7.2 (31-May-2015)
Cisco Nexus 9000 Series Switches CSCut77413 7.0(3)I1(2) (30-Apr-2015)
IOS-XR for Cisco Network Convergence System (NCS) 6000 CSCut77471 5.2.5
Voice and Unified Communications Devices
Cisco Management Heartbeat Server CSCut77579 Upgrade instructions are available.
Video, Streaming, TelePresence, and Transcoding Devices
Cisco 910 Industrial Router CSCut78846 1.2.1 (30-Apr-2014)
Cisco Enterprise Content Delivery System (ECDS) CSCut77479 2.6.4 (15-May-2015)
Cisco Expressway Series CSCut77506 X8.5.2 (8-May-2015)
Cisco Show and Share CSCut77493 5.6.1 (15-Aug-2015)
Cisco TelePresence Conductor CSCut77474 3.1 (June 2014)
Cisco TelePresence Video Communication Server (VCS) CSCut77506 X8.5.2 (8-May-2015)
Cisco Video Surveillance Media Server CSCut77540 7.7 (September 2015)
Cisco Hosted Services
Cisco Common Services Platform Collector CSCut77370 1.6 (30-Jun-2015)

脆弱性が認められない製品

CVE-2015-1798 と CVE-2015-1799 に記載された脆弱性のどちらの影響も受けない製品とサービスを、次の表に示します。

Collaboration and Social Media
  • Cisco MeetingPlace
  • Cisco SocialMiner
  • Cisco WebEx Meetings Server versions 1.x
  • Cisco WebEx Meetings Server versions 2.x
  • Cisco WebEx Node for MCS

Endpoint Clients and Client Software
  • Cisco Agent for OpenFlow
  • Cisco IP Communicator
  • Cisco Jabber Guest 10.0(2)
  • Cisco Jabber for Windows
  • Cisco NAC Agent for Mac
  • Cisco NAC Agent for Web
  • Cisco UC Integration for Microsoft Lync
  • Cisco Unified Personal Communicator
  • Cisco Virtualization Experience Media Engine
  • Cisco WebEx Meetings for Android
  • Cisco WebEx Meetings for Blackberry
  • Cisco WebEx Meetings for WP8
  • Cisco WebEx Productivity Tools
  • WebEx Recording Playback Client

Network Application, Service, and Acceleration
  • Cisco Application Control Engine (ACE10 and ACE20)
  • Cisco Application and Content Networking System (ACNS)
  • Cisco Extensible Network Controller (XNC)
  • Cisco GSS 4492R Global Site Selector
  • Cisco Nexus Data Broker (NDB)
  • Cisco Smart Call Home Transport Gateway
  • Cisco Visual Quality Experience Server
  • Cisco Visual Quality Experience Tools Server
  • Content Services Switch

Network and Content Security Devices
  • Cisco Adaptive Security Appliance (ASA) Software
  • Cisco Adaptive Security Device Manager
  • Cisco Email Security Appliance (ESA)
  • Cisco FireSIGHT System Software
  • Cisco IronPort Encryption Appliance (IEA)
  • Cisco IronPort WSA
  • Cisco Physical Access Manager
  • Cisco Security Management Appliance (SMA)

Network Management and Provisioning
  • Cisco Access Registrar Appliance
  • Cisco Connected Grid Device Manager
  • Cisco Connected Grid Network Management System
  • Cisco Insight Reporter
  • Cisco Linear Stream Manager
  • Cisco MATE Collector
  • Cisco MATE Design
  • Cisco MATE Live
  • Cisco Mobile Wireless Transport Manager
  • Cisco Multicast Manager
  • Cisco Netflow Collection Agent
  • Cisco Network Analysis Module
  • Cisco Network Collector
  • Cisco Network Configuration and Change Management Service
  • Cisco Prime Access Registrar Appliance
  • Cisco Prime Access Registrar
  • Cisco Prime Analytics
  • Cisco Prime Cable Provisioning
  • Cisco Prime Central for SPs
  • Cisco Prime Data Center Network Manager (.ova and .iso installers)
  • Cisco Prime Home
  • Cisco Prime IP Express
  • Cisco Prime Infrastructure Standalone Plug and Play Gateway
  • Cisco Prime Infrastructure
  • Cisco Prime LAN Management Solution (LMS - Solaris)
  • Cisco Prime License Manager
  • Cisco Prime Network Registrar (CPNR) IPAM
  • Cisco Prime Network Registrar (CPNR) virtual appliance
  • Cisco Prime Network Services Controller
  • Cisco Prime Optical for SPs
  • Cisco Prime Performance Manager for SPs
  • Cisco Prime Provisioning for SPs
  • Cisco Prime Service Catalog Virtual Appliance
  • Cisco Quantum Policy Suite (QPS)
  • Cisco SON Suite
  • Cisco Security Manager
  • Cisco TelePresence MPS Series
  • Cisco Unified Provisioning Manager (CUPM)
  • CiscoWorks Network Compliance Manager
  • Security Module for Cisco Network Registrar
  • Unified Communications Deployment Tools

Routing and Switching - Enterprise and Service Provider
  • CRS-CGSE-PLIM
  • CRS-CGSE-PLUS
  • Cisco ASR 9000 Series Integrated Service Module
  • Cisco Broadband Access Center Telco Wireless
  • Cisco Connected Grid Router
  • Cisco Metro Ethernet 1200 Series Access Devices
  • Cisco Nexus 4000 Series
  • Cisco ONS 15454 Series Multiservice Provisioning Platforms
  • Cisco OnePK All-in-One VM
  • Cisco Service Control Application for Broadband
  • Cisco Service Control Collection Manager
  • Cisco Service Control Operating System
  • Cisco Service Control Subscriber Manager
  • Cisco VPN Acceleration Engine

Routing and Switching - Small Business
  • Cisco RV180W Wireless-N Multifunction VPN Router
  • Cisco Small Business RV 120W Wireless-N VPN Firewall
  • Cisco Small Business RV Series Routers 0xxv3
  • Cisco Small Business RV Series Routers RV110W
  • Cisco Small Business RV Series Routers RV130x
  • Cisco Small Business RV Series Routers RV215W
  • Cisco Small Business RV Series Routers RV220W
  • Cisco Small Business RV Series Routers RV315W
  • Cisco Small Business RV Series Routers RV320
  • Cisco Sx220 switches
  • Cisco Sx300 switches
  • Cisco Sx500 switches

Unified Computing
  • Cisco Standalone rack server CIMC
  • Cisco UCS Director
  • Cisco UCS Invicta Series
  • Cisco UCS Manager
  • Cisco Unified Computing System B-Series (Blade) Servers
  • Cisco Unified Computing System E-Series Blade Server
  • UCS IO Modules

Voice and Unified Communications Devices
  • Cisco 190 ATA Series Analog Terminal Adaptor
  • Cisco 7937 IP Phone
  • Cisco 8800 Series IP Phones - VPN Feature
  • Cisco ATA 187 Analog Telephone Adaptor
  • Cisco Agent Desktop
  • Cisco Broadband Access Center for Cable Tools Suite 4.1
  • Cisco Broadband Access Center for Cable Tools Suite 4.2
  • Cisco Computer Telephony Integration Object Server (CTIOS)
  • Cisco DX Series IP Phones
  • Cisco Desktop Collaboration Experience DX70 and DX80
  • Cisco Emergency Responder
  • Cisco Finesse
  • Cisco Hosted Collaboration Mediation Fulfillment
  • Cisco IM and Presence Service (CUPS)
  • Cisco IP Interoperability and Collaboration System (IPICS)
  • Cisco MS200X Ethernet Access Switch
  • Cisco MediaSense
  • Cisco Packaged Contact Center Enterprise
  • Cisco Paging Server (Informacast)
  • Cisco Paging Server
  • Cisco Prime Cable Provisioning Tools Suite 5.0
  • Cisco Prime Cable Provisioning Tools Suite 5.1
  • Cisco Remote Silent Monitoring
  • Cisco SPA112 2-Port Phone Adapter
  • Cisco SPA122 ATA with Router
  • Cisco SPA232D Multi-Line DECT ATA
  • Cisco SPA30X Series IP Phones
  • Cisco SPA50X Series IP Phones
  • Cisco SPA51X Series IP Phones
  • Cisco SPA525G
  • Cisco SPA8000 8-port IP Telephony Gateway
  • Cisco SPA8800 IP Telephony Gateway with 4 FXS and 4 FXO Ports
  • Cisco StarOS Software
  • Cisco TAPI Service Provider (TSP)
  • Cisco Unified 3900 series IP Phones
  • Cisco Unified 6900 series IP Phones
  • Cisco Unified 6911 IP Phones
  • Cisco Unified 6945 IP Phones
  • Cisco Unified 7800 Series IP Phones
  • Cisco Unified 8831 series IP Conference Phone
  • Cisco Unified 8961 IP Phone
  • Cisco Unified 9951 IP Phone
  • Cisco Unified 9971 IP Phone
  • Cisco Unified Attendant Console Advanced
  • Cisco Unified Attendant Console Business Edition
  • Cisco Unified Attendant Console Department Edition
  • Cisco Unified Attendant Console Enterprise Edition
  • Cisco Unified Attendant Console Premium Edition
  • Cisco Unified Attendant Console Standard
  • Cisco Unified Client Services Framework
  • Cisco Unified Communications Domain Manager
  • Cisco Unified Communications Manager (UCM)
  • Cisco Unified Communications Manager Session Management Edition (SME)
  • Cisco Unified Communications Sizing Tool
  • Cisco Unified Contact Center Enterprise
  • Cisco Unified Contact Center Express
  • Cisco Unified E-Mail Interaction Manager
  • Cisco Unified IP Conference Phone 8831 for Third-Party Call Control
  • Cisco Unified IP Phone 7900 Series
  • Cisco Unified IP Phone 8941 and 8945 (SIP)
  • Cisco Unified Integration for IBM Sametime
  • Cisco Unified Intelligence Center (CUIC)
  • Cisco Unified Intelligent Contact Management Enterprise
  • Cisco Unified Operations Manager (CUOM)
  • Cisco Unified Service Monitor
  • Cisco Unified Service Statistics Manager
  • Cisco Unified Sip Proxy
  • Cisco Unified Web Interaction Manager
  • Cisco Unified Wireless IP Phone
  • Cisco Unified Workforce Optimization
  • Cisco Unity Connection (UC)
  • Cisco Unity Express
  • xony VIM/CCDM/CCMP

Video, Streaming, TelePresence, and Transcoding Devices
  • Cisco AnyRes Live (CAL)
  • Cisco AnyRes VOD (CAL)
  • Cisco AutoBackup Server
  • Cisco CDS Internet Streaming
  • Cisco Command 2000 Server (cmd2k) (RH Based)
  • Cisco Common Download Server (CDLS)
  • Cisco D9034-S Encoder
  • Cisco D9036 Modular Encoding Platform
  • Cisco D9054 HDTV Encoder
  • Cisco D9804 Multiple Transport Receiver
  • Cisco D9824 Advanced Multi Decryption Receiver
  • Cisco D9854/D9854-I Advanced Program Receiver
  • Cisco D9858 Advanced Receiver Transcoder
  • Cisco D9859 Advanced Receiver Transcoder
  • Cisco D9865 Satellite Receiver
  • Cisco DCM Series 9900-Digital Content Manager
  • Cisco DNCS Application Server (AppServer)
  • Cisco Digital Media Manager
  • Cisco Digital Media Players
  • Cisco Digital Network Control System (DNCS)
  • Cisco Digital Transport Adapter Control System (DTACS)
  • Cisco Download Server (DLS) (RH Based)
  • Cisco Download Server (DLS) (Solaris)
  • Cisco Edge 300 Digital Media Player
  • Cisco Edge 340 Digital Media Player
  • Cisco IPTV Service Delivery System (ISDS)
  • Cisco International Digital Network Control System (iDNCS)
  • Cisco Media Experience Engines (MXE)
  • Cisco Media Services Interface
  • Cisco Model D9485 DAVIC QPSK
  • Cisco PowerVu Network Center
  • Cisco PowerKEY CAS Gateway (PCG)
  • Cisco PowerKEY Encryption Server (PKES)
  • Cisco Remote Conditional Access System (RCAS)
  • Cisco Remote Network Control System (RNCS)
  • Cisco TelePresence 1310
  • Cisco TelePresence Advanced Media Gateway Series
  • Cisco TelePresence Content Server (TCS)
  • Cisco TelePresence EX Series
  • Cisco TelePresence Exchange System (CTX)
  • Cisco TelePresence IP Gateway Series
  • Cisco TelePresence IP VCR Series
  • Cisco TelePresence ISDN GW 3241
  • Cisco TelePresence ISDN GW MSE 8321
  • Cisco TelePresence ISDN Link
  • Cisco TelePresence MCU (8510, 8420, 4200, 4500 and 5300)
  • Cisco TelePresence MX Series
  • Cisco TelePresence MXP Software
  • Cisco TelePresence Management Suite (TMS)
  • Cisco TelePresence Management Suite Analytics Extension (TMSAE)
  • Cisco TelePresence Management Suite Extension (TMSXE)
  • Cisco TelePresence Management Suite Extension for IBM
  • Cisco TelePresence Management Suite Provisioning Extension
  • Cisco TelePresence Multipoint Switch (CTMS)
  • Cisco TelePresence Profile Series
  • Cisco TelePresence SX Series
  • Cisco TelePresence Serial Gateway Series
  • Cisco TelePresence Server 8710, 7010
  • Cisco TelePresence Server on Multiparty Media 310, 320
  • Cisco TelePresence Server on Virtual Machine
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence System 1000
  • Cisco TelePresence System 1100
  • Cisco TelePresence System 1300
  • Cisco TelePresence System 3000 Series
  • Cisco TelePresence System 500-32
  • Cisco TelePresence System 500-37
  • Cisco TelePresence TE Software (for E20 - EoL)
  • Cisco TelePresence TX 9000 Series
  • Cisco Telepresence Integrator C Series
  • Cisco Transaction Encryption Device (TED)
  • Cisco VDS Service Broker
  • Cisco VEN401 Wireless Access Point Product
  • Cisco VEN501 Wireless Access Point
  • Cisco Video Delivery System Recorder
  • Cisco Video Surveillance 3000 Series IP Cameras
  • Cisco Video Surveillance 4000 Series High-Definition IP Cameras
  • Cisco Video Surveillance 4300E/4500E High-Definition IP Cameras
  • Cisco Video Surveillance 6000 Series IP Cameras
  • Cisco Video Surveillance 7000 Series IP Cameras
  • Cisco Video Surveillance PTZ IP Cameras
  • Cisco Videoscape Back Office (VBO)
  • Cisco Videoscape Conductor
  • Cisco Videoscape Control Suite
  • Cisco Videoscape Distribution Suite Transparent Caching
  • Cisco Virtual PGW 2200 Softswitch
  • Cloud Object Store (COS)
  • Digital Media Player(DMP) 4310
  • Digital Media Player(DMP) 4400
  • Explorer Controller (EC) system
  • Tandberg Codian ISDN GW 3210/3220/3240
  • Tandberg Codian MSE 8320 model

Wireless
  • Cisco 3G Femtocell Wireless
  • Cisco IOS Access Points
  • Cisco Mobility Services Engine (MSE)
  • Cisco RF Gateway 1 (RFGW-1)
  • Cisco Small Business 121 Series Wireless Access Points
  • Cisco Small Business 321 Series Wireless Access Points
  • Cisco Small Business 500 Series Wireless Access Points
  • Cisco WAP371 wireless access point
  • Cisco Wireless LAN Controller (WLC)

Cisco Hosted Services
  • Cisco Cloud Email Security
  • Cisco Cloud Web Security
  • Cisco Intelligent Automation for Cloud
  • Cisco Registered Envelope Service (CRES)
  • Cisco Unified Services Delivery Platform (CUSDP)
  • Cisco Universal Small Cell (USC) CloudBase
  • Cisco Universal Small Cell 5000 Series running V3.4.2.x software
  • Cisco Universal Small Cell 7000 Series running V3.4.2.x software
  • Cisco Universal Small Cell CloudBase
  • Cisco WebEx WebOffice & Workspace
  • Cisco WebEx11 Application Server
  • Cisco Webex Meeting Center
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

2015 年 4 月 7 日に、NTP.org および US-CERT は、認証コントロールのバイパスに関する 2 つの問題に対処するためのセキュリティ アドバイザリをリリースしました。

これらの脆弱性がシスコ製品に与える影響は、製品によって異なる可能性があります。

シスコ製品については、本ドキュメントの「該当製品」リストの Cisco Bug ID 情報を参照してください。

追加情報や詳しい手順は、シスコの各製品のインストール ガイド、コンフィギュレーション ガイド、メンテナンス ガイドに記載されています。さらに説明やアドバイスが必要な場合、サポート担当者にお問い合わせください。

脆弱性の名称およびそれらに関連する Common Vulnerabilities and Exposures(CVE)ID は、次のとおりです。

CVE-2015-1798:NTP 認証バイパスの脆弱性

ntpd のメッセージ認証コード(MAC)検証ルーチンに存在する脆弱性により、認証されていないリモートの攻撃者によって NTP 認証機能がバイパスされる可能性があります。

この脆弱性は、MAC フィールドの不適切な検証に起因します。攻撃者は、対称キー アソシエーションを使用して構成された NTP ホストに、未認証の NTP パケットを送信することで、この脆弱性を不正利用する可能性があります。これを不正利用することで、攻撃者は NTP 対称キーを知らなくても NTP パケットを NTP ホストにインジェクトできる可能性があります。

CVE-2015-1799:NTP 認証で対称アソシエーションが DoS 攻撃から保護されない

ntpd の認証コードに存在する脆弱性により、認証されていないリモートの攻撃者が、NTP キーを知らなくても NTP 状態変数をインジェクトできる可能性があります。

この脆弱性は、認証が失敗したときの NTP パケットの不適切な処理に起因します。攻撃者は、NTP 状態変数を設定した NTP パケットを定期的に送信して、この脆弱性を不正利用する可能性があります。不正利用に成功した場合、攻撃者は NTP ホスト間の通信を中断させ、同期を妨げる可能性があります。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおけるこれらの脆弱性の影響度を導き出すことができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss



CVE-2015-1798 and CVE-2015-1799

Calculate the environmental score of these vulnerabilities

CVSS Base Score - 4.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

Partial

None

CVSS Temporal Score - 3.2

Exploitability

Remediation Level

Report Confidence

Unproven

Official Fix

Confirmed


影響

これらの脆弱性が不正利用されると、NTP ホスト間の通信の中断が発生し、時間を同期できない可能性があります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Alerts アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

シスコ製品のソフトウェア バージョンと修正については、本ドキュメントの「該当製品」の Cisco Bug ID 情報を参照してください。


回避策

NTP ホストへのアクセスを、信頼できるソースだけに制限すると、不正利用のリスクが低下します。攻撃者はスプーフィングされたパケットを使用して、これらの脆弱性を不正利用する可能性があります。

ネットワーク内のシスコ デバイスに適用可能な他の対応策は、このアドバイザリの付属ドキュメントである『Cisco Applied Mitigation Bulletin』にて参照できます。
http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=36857

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供する予定です。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、シスコ認定パートナー、リセラー、およびディストリビュータ(認定サードパーティ ベンダー)から購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。

  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • Eメール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

これらの脆弱性は、US-CERT/CC からシスコに報告されました。

この通知のステータス:Final

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security に掲載されます。

http://www.cisco.com/cisco/web/support/JP/112/1128/1128965_cisco-sa-20150408-ntpd-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の電子メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • fulldisclosure@seclists.org

本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

今後のドキュメントや関連コンテンツの入手手順については、Security Vulnerability Policy ページの Receiving Security Vulnerability Information from Cisco を参照してください。


更新履歴

Revision 1.10 2015-September-09 Removed SMU for N6K and updated IOS XR availability.
Revision 1.9 2015-May-28 Updated Fixed releases availability column.
Revision 1.8 2015-May-14 Updated Fixed releases availability column.
Revision 1.7 2015-May-06 Finalized Affected Products section.
Revision 1.6 2015-April-30 Moved Cisco WebEx Meetings Server versions 1.x and 2.x from vulnerable to not affected. Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.5 2015-April-24 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.4 2015-April-23 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.3 2015-April-15 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.2 2015-April-13 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.1 2015-April-09 Updated the Affected Products, Vulnerable Products, and Products Confirmed Not Vulnerable sections.
Revision 1.0 2015-April-08 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html を参照してください。この Web ページには、Cisco Security Advisory に関してメディアが問い合わせる際の指示が掲載されています。すべての Cisco Security Advisory は、http://www.cisco.com/go/psirt/ で確認することができます。