Cisco Unified Communications Manager のサービス拒否の脆弱性

Cisco Unified Communications Managerは、Cisco IP Telephonyソリューションのコール処理コンポーネントであり、企業のテレフォニー機能を、IP電話、メディア処理デバイス、Voice-over-IP(VoIP)ゲートウェイ、マルチメディアアプリケーションなどのパケットテレフォニーネットワークデバイスに拡張します。

証明書信頼リスト(CTL)プロバイダーに関連する脆弱性

Cisco Unified Communications Managerバージョン5.xのCertificate Trust List(CTL)Providerサービスには、脆弱性のあるCisco Unified Communications Managerシステムによって一連の不正なTCPパケットが受信され、DoS状態が発生する可能性がある場合に発生するメモリ消費の脆弱性が含まれています。CTLプロバイダーサービスは、デフォルトではTCPポート2444でリッスンし、ユーザが設定できます。CTLプロバイダーサービスはデフォルトで有効になっています。この脆弱性に対しては回避策があります。この脆弱性は、Cisco Unified Communications Managerバージョン5.1(3)で修正されています。この脆弱性は、Cisco Bug ID CSCsj80609(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1742が割り当てられています。

Cisco Unified Communications Managerバージョン5.xおよび6.xのCTLプロバイダーサービスには、脆弱性のあるCisco Unified Communications Managerシステムが一連の不正なTCPパケットを受信したときに発生し、DoS状態を引き起こす可能性があるメモリ消費の脆弱性が存在します。CTLプロバイダーサービスは、デフォルトではTCPポート2444でリッスンし、ユーザが設定できます。この脆弱性に対しては回避策があります。この脆弱性は、Cisco Unified Communications Managerバージョン5.1(3)および6.1(1)で修正されています。この脆弱性は、Cisco Bug ID CSCsi98433(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1743が割り当てられています。

Certificate Authority Proxy Function関連の脆弱性

Cisco Unified Communications Managerバージョン4.1、4.2、および4.3のCertificate Authority Proxy Function(CAPF)サービスには、DoS状態を引き起こす可能性がある不正な入力を処理する際の脆弱性が存在します。CAPFサービスはデフォルトでTCPポート3804でリッスンし、ユーザが設定できます。CAPFサービスはデフォルトで無効になっています。この脆弱性に対しては回避策があります。この脆弱性は、Cisco Unified Communications Managerバージョン4.1(3)SR7、4.2(3)SR4、および4.3(2)で修正されています。この脆弱性は、Cisco Bug ID CSCsk46770(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1744が割り当てられています。

SIP 関連の脆弱性

Cisco Unified Communications Managerバージョン5.xおよび6.xには、DoS状態を引き起こす可能性がある不正なSIP JOINメッセージの処理に関する脆弱性が存在します。Cisco Unified Communications ManagerでSIP処理を無効にすることはできません。この脆弱性に対する回避策はありません。この脆弱性は、Cisco Unified Communications Managerバージョン5.1(2)および6.1(1)で修正されています。この脆弱性は、Cisco Bug ID CSCsi48115(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1745が割り当てられています。

Cisco Unified Communications Managerバージョン4.1、4.2、4.3、5.x、および6.xには、DoS状態を引き起こす可能性があるSIP INVITEメッセージの処理に関する脆弱性が存在します。Cisco Unified Communications ManagerでSIP処理を無効にすることはできません。この脆弱性に対する回避策はありません。SIPを使用するように設定されていないCisco Unified Communications Managerバージョン4.xシステムには脆弱性はありません。この脆弱性は、Cisco Unified Communications Managerバージョン4.1(3)SR6、4.2(3)SR3、4.3(2)、5.1(3)、および6.1(1)で修正されています。この脆弱性は、Cisco Bug ID CSCsk46944(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1747が割り当てられています。

Cisco Unified Communications Managerバージョン4.1、4.2、4.3、5.x、および6.xには、DoS状態を引き起こす可能性があるSIP INVITEメッセージの処理に関する脆弱性が存在します。Cisco Unified Communications ManagerでSIP処理を無効にすることはできません。この脆弱性に対する回避策はありません。SIPを使用するように設定されていないCisco Unified Communications Managerバージョン4.xシステムには脆弱性はありません。この脆弱性は、Cisco Unified Communications Managerバージョン4.1(3)SR7、4.2(3)SR4、4.3(2)、5.1(3)、および6.1(1)で修正されています。この脆弱性は、Cisco Bug ID CSCsl22355(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1748が割り当てられています。

SNMPトラップ関連の脆弱性

Cisco Unified Communications Managerバージョン4.1、4.2、4.3、5.x、および6.xのSNMP Trap Agentサービスには、脆弱性のあるCisco Unified Communications Managerシステムが一連の不正なUDPパケットを受信したときに発生し、DoS状態が発生する可能性のある脆弱性が存在します。SNMPトラップエージェントサービスは、デフォルトではUDPポート61441でリッスンします。この脆弱性に対しては回避策があります。この脆弱性は、Cisco Unified Communications Managerバージョン4.1(3)SR6、4.2(3)SR3、4.3(2)、5.1(3)、および6.1(1)で修正されています。この脆弱性は、Cisco Bug ID CSCsj24113(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2008-1746が割り当てられています。

CTLプロバイダーに関連する脆弱性

CTL Providerサービスの脆弱性(CSCsj80609およびCSCsi98433)を緩和するために、不要な場合は、システム管理者がCTL Providerサービスを無効にすることができます。CTLプロバイダーサービスへのアクセスは、通常、Cisco Unified Communications Managerの認証および暗号化機能の初期設定時にのみ必要です。CTL Providerサービスは、Cisco CTL Providerメニュー選択によって制御されます。

スクリーニングデバイスにフィルタリングを実装することで、CTLプロバイダーの脆弱性を緩和できます。CTL Providerサービスが有効になっている場合は、CTL Providerサービスのオーバーフローを緩和するために、CTL ProviderサービスがアクティブになっているCisco Unified Communications ManagerシステムとCTLクライアント（通常は管理者のワークステーション）の間でのみTCPポート2444へのアクセスを許可します。

注：CTLプロバイダーサービスのデフォルトポート（TCPポート2444）を変更できます。変更した場合は、使用する値に基づいてフィルタリングを行う必要があります。ポートの値は、Cisco Unified Communications Manager AdministrationインターフェイスでSystem > Service Parametersメニューを選択し、適切なサービスを選択することで表示できます。

CAPF関連の脆弱性

CAPFサービスの脆弱性(CSCsk46770)を緩和するために、システム管理者はCAPFサービスが不要な場合は無効にすることができます。CAPFサービスへのアクセスは、Cisco Unified Communications ManagerシステムおよびIP Phoneデバイスがセキュアな展開のために証明書を使用するように設定されている場合にのみ必要です。電話機が証明書を使用するように設定されていない場合は、CAPFサービスを無効にすることができます。CAPFサービスは、Cisco Certificate Authority Proxy Functionメニュー選択によって制御されます。

スクリーニングデバイスにフィルタリングを実装することで、CAPFの脆弱性を緩和できます。CAPFサービスが有効になっている場合は、CAPFサービスを利用する必要のあるIP Phoneデバイスが含まれているネットワークからのみ、TCPポート3804へのアクセスを許可します。

SIP 関連の脆弱性

スクリーニングデバイスにフィルタリングを実装することで、SIPの脆弱性を緩和できます。Cisco Unified Communications ManagerサーバへのSIPアクセスを必要とするネットワークからのみ、ポート5060および5061へのTCP/UDPアクセスを許可します。

SNMPトラップ関連の脆弱性

SNMPトラップサービスの脆弱性(CSCsj24113)を軽減するために、システム管理者はSNMPトラップサービスを無効にすることができます。Cisco Unified Communications Manager 4.xシステムでは、SNMPトラップサービスは組み込みのWindows SNMPサービスによって制御されます。Windows SNMPサービスを無効にするには、Start > Programs > Administrative Tools > Servicesの順に選択し、SNMP Serviceを停止します。

注：Windows Service設定画面に表示されるSNMPトラップサービスはこの脆弱性には適用されず、無効にしても、この脆弱性の回避策としての利点はありません。Cisco Unified Communications Manager 5.xおよび6.xシステムの場合、SNMPトラップサービスは、Control Center Feature Services画面のCisco CallManager SNMP Serviceの選択によって制御されます。

スクリーニングデバイスにフィルタリングを実装することで、SNMPトラップサービスの脆弱性を緩和できます。SNMPトラップサービスへのアクセスを必要とする管理システムからのみ、UDPポート61441へのアクセスを許可します。

Cisco Unified Communications Manager 4.xシステムの場合、Cisco Unified Communications Managerサービスを無効にする方法の詳細については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/service/4_2_3/ccmsrva/sasrvact.html

Cisco Unified Communications Manager 5.xおよび6.xシステムの場合、Cisco Unified Communications Managerサービスを無効にする方法の詳細については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/service/5_0_1/ccmsrva/sasrvact.html#wp1048220

ネットワーク内のCiscoデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080514-cucmdos

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco Unified CallManagerバージョン4.1(3)SR7には、このアドバイザリに記載されているCisco Unified CallManagerバージョン4.1に影響するすべての脆弱性に対する修正が含まれています。次のリンクからダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-41?psrtdcat20e2

Cisco Unified Communications Managerバージョン4.2(3)SR4には、このアドバイザリに記載されているCisco Unified Communications Managerバージョン4.2に影響するすべての脆弱性の修正が含まれており、2008年6月上旬にリリースされる予定です。次のリンクからダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-42?psrtdcat20e2

Cisco Unified Communications Managerバージョン4.3(2)には、このアドバイザリに記載されているCisco Unified Communications Managerバージョン4.2に影響するすべての脆弱性に対する修正が含まれています。次のリンクからダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-43?psrtdcat20e2

Cisco Unified Communications Managerバージョン5.1(3)には、このアドバイザリに記載されているCisco Unified Communications Managerバージョン5.xに影響するすべての脆弱性に対する修正が含まれています。次のリンクからダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-51?psrtdcat20e2

Cisco Unified Communications Managerバージョン6.1(1)には、このアドバイザリに記載されているCisco Unified Communications Managerバージョン6.xに影響するすべての脆弱性に対する修正が含まれています。次のリンクからダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-61?psrtdcat20e2

このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。

これらの脆弱性は、Cisco 社内で発見されたものです。