Cisco Security Advisory: Cisco IOS Software Firewall Application Inspection Control Vulnerability
Advisory ID: cisco-sa-20080924-iosfw
http://www.cisco.com/warp/public/707/cisco-sa-20080924-iosfw.shtml
本翻訳は、原文の機械翻訳後に技術者が簡易レビューをしたものです。 日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision 1.1
Last Updated 2009 April 16 2100 UTC (GMT)
For Public Release 2008 September 24 1600 UTC (GMT)
目次
要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウエアバージョン及び修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順
要約
IOSファイアウォール アプリケーション インスペクション コントロール(AIC)機能でHTTP特有のポリシーが設定されているCisco IOS ソフトウェアには、不正な形式のHTTP通過パケットを処理する際にサービス拒絶に関する脆弱性が存在します。この脆弱性を利用して該当製品をリロードさせられる可能性があります。
Ciscoはこの脆弱性に対処する無償のソフトアップデートをリリースしました。
この脆弱性のための緩和策が存在します。詳細については "回避策" セクションを参照して下さい。
このアドバイザリは以下に掲載されます: http://www.cisco.com/JP/support/public/ht/security/102/1021562/cisco-sa-20080924-iosfw-j.shtml
注: 2008年9月24日のIOSアドバイザリバンドル公開には12の Security Advisory が含まれています。そのうちの11のアドバイザリはCiscoのInternetwork Operating System(IOS)ソフトウェアの脆弱性に対処し、1つのアドバイザリはCisco Unified Communication Managerの脆弱性に対処します。各アドバイザリは、そのアドバイザリに記述された脆弱性を解決するリリースをリストします。
個々の公開リンクは下記にリストされています:
- http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml (英語版)
- http://www.cisco.com/JP/support/public/ht/security/102/1021561/cisco-sa-20080924-iosips-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021567/cisco-sa-20080924-ssl-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021566/cisco-sa-20080924-sip-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021569/cisco-sa-20080924-vpn-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021563/cisco-sa-20080924-ipc-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021565/cisco-sa-20080924-mfi-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021568/cisco-sa-20080924-ubr-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021585/cisco-sa-20080924-sccp-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021590/cisco-sa-20080924-multicast-j.shtml
- http://www.cisco.com/JP/support/public/ht/security/102/1021564/cisco-sa-20080924-l2tp-j.shtml
該当製品
HTTP AIC機能はCisco IOSソフトウェアリリース12.4(9)Tで導入されました。このアドバイザリのソフトウェアテーブルでどのリリースが該当するかわかります。
脆弱性が存在する製品
この問題は脆弱性が存在するバージョンのCisco IOS ソフトウェアが稼動し、HTTPに関するCisco IOS ファイアウォールAICが定義されている機器に影響を与えます。
Cisco IOS製品で稼動しているソフトウェアを確認するには、機器にログインしてshow versionコマンドラインインターフェイス(CLI)コマンドを実行し、システムバナーを表示させます。Cisco IOSソフトウェアの場合、"Internetwork Operating System Software"または単純に"IOS"と表示されます。その後ろ(場合により改行されています)にイメージ名が括弧の中に表示され、続いて"Version"とCisco IOSリリース名が表示されます。他のCisco機器ではshow versionコマンドがない場合や、異なる表示をする場合があります。
以下の例はCisco IOSイメージ12.4(15)T2が稼動しているデバイスの出力を示したものです:
router#show version Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(15)T2, RELEASE SOFTWARE (fc7) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 17-Jan-08 23:12 by prod_rel_team !--- Output truncated.
Cisco IOSリリース命名規則のその他の情報は、以下のリンクの"White Paper: Cisco IOS Reference Guide"で確認できます: http://www.cisco.com/warp/public/620/1.html
設定にHTTPディープパケットインスペクション(DPI)のためのレイヤ7クラスマップ、ポリシーマップが存在し、このポリシーが一つでもファイアウォールゾーンに適用されている場合、そのデバイスは本脆弱性の影響を受けます。脆弱性が存在するHTTPのCisco IOS ファイアウォールAICに関する設定がされているかどうか確認するには、機器にログインし、CLIコマンド show policy-map type inspect zone-pair | section packet inspectionを実行します。出力にPolicy: http レイヤ7ポリシーマップ名が含まれていれば、その機器には脆弱性が存在します。次の例は脆弱性が存在する機器の応答を示したものです:
Router#show policy-map type inspect zone-pair | section packet inspection
Deep packet inspection
Policy: http layer7-policymap
1 packets, 28 bytes
Router#
脆弱性が存在しない製品
他のCisco製品で本脆弱性の影響を受ける機器は現時点では確認されていません。12.4(9)T以前のIOSリリースは本脆弱性の影響を受けません。本脆弱性が存在しないと確認された製品には以下があります:
- Cisco PIX
- Cisco ASA
- Cisco Firewall Services Module (FWSM)
- The Virtual Firewall (VFW) application on the multiservice blade (MSB) on the Cisco XR 12000 Series Router
詳細
ファイアウォールは組織のネットワーク資産に対するアクセスを制御するネットワーク機器です。ファイアウォールは通常ネットワークの入り口に設置されます。Cisco IOSソフトウェアは特定の要件に従い単純なものから複雑なものまでファイアウォールポリシーを設定することができる一連のセキュリティ機能を提供します。
HTTPはインターネットWebサービスの転送にデフォルトでポート80番を使用しており、ネットワークでは一般的に使われています。ポート80番のトラフィックは大抵疑われずにネットワークを通過できるので、多くのアプリケーション開発者はアプリケーションのトラフィックがファイアウォールを通過もしくはバイパスできるように転送プロトコルとしてHTTPを活用しています。Cisco IOS ファイアウォールでHTTP AICが設定されると、その機器はパケットインスペクションを実行し、セキュリティポリシー設定の範囲内で許可されていないHTTP接続を検出します。またポート80番を利用してアプリケーションをトンネリングさせているユーザを検出することもできます。HTTPプロトコルに従っていないパケットは廃棄され、その接続はリセットされ、必要に応じてsyslog messsageが生成されます。
IOSファイアウォール アプリケーション インスペクション コントロール(AIC)機能でHTTP特有のポリシーが設定されているCisco IOS ソフトウェアには、不正な形式のHTTP通過パケットを処理する際にサービス拒絶に関する脆弱性が存在します。この脆弱性を利用して該当製品をリロードさせられる可能性があります。
HTTPはTCP上で動作します。この脆弱性が不正に利用され、悪意のあるトラフィックが流れて機器がリロードさせられるには、クライアントとサーバの間で前もって完全なTCP 3 ウェイ ハンドシェイクが行われる必要があります。
HTTP特有のポリシーマップが使用されているCisco IOSファイアウォールAICに関するその他の情報は以下のURLで確認できます: http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124newft/124t/124t6/htzonebp.htm#wp1407906
この脆弱性はCiscoバグID CSCsh12480 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) IDとしてCVE-2008-3812が割り当てられています。
脆弱性スコア詳細
シスコは Common Vulnerability Scoring System(CVSS)の Version 2.0に基づいた脆弱性のスコアリングを提供しています。
CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。
シスコは基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。
シスコは以下の URLにてCVSSに関するFAQを提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html
またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。
http://intellishield.cisco.com/security/alertmanager/cvss
CSCsh12480 - IOSFW with HTTP AIC may reload on processing crafted HTTP packet Calculate the environmental score of |
||||||
|---|---|---|---|---|---|---|
CVSS Base Score - 7.8 |
||||||
Access Vector |
Access Complexity |
Authentication |
Confidentiality Impact |
Integrity Impact |
Availability Impact |
|
Network |
Low |
None |
None |
None |
Complete |
|
CVSS Temporal Score - 6.4 |
||||||
Exploitability |
Remediation Level |
Report Confidence |
||||
Functional |
Official-Fix |
Confirmed |
||||
影響
この脆弱性を利用して該当製品をリロードさせられる可能性があります。この不正利用が繰り返されると継続したDoS 攻撃となる可能性があります。
ソフトウエアバージョン及び修正
ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。
Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。
Major Release |
Availability of Repaired Releases |
|
|---|---|---|
Affected 12.0-Based Releases |
First Fixed Release |
Recommended Release |
There are no affected 12.0 based releases |
||
Affected 12.1-Based Releases |
First Fixed Release |
Recommended Release |
There are no affected 12.1 based releases |
||
Affected 12.2-Based Releases |
First Fixed Release |
Recommended Release |
There are no affected 12.2 based releases |
||
Affected 12.3-Based Releases |
First Fixed Release |
Recommended Release |
There are no affected 12.3 based releases |
||
Affected 12.4-Based Releases |
First Fixed Release |
Recommended Release |
12.4 |
Not Vulnerable |
|
12.4JA |
Not Vulnerable |
|
12.4JK |
Not Vulnerable |
|
12.4JL |
Not Vulnerable |
|
12.4JMA |
Not Vulnerable |
|
12.4JMB |
Not Vulnerable |
|
12.4JMC |
Not Vulnerable |
|
12.4JX |
Not Vulnerable |
|
12.4MD |
Not Vulnerable |
|
12.4MR |
Not Vulnerable |
|
12.4SW |
Not Vulnerable |
|
12.4T |
Releases prior to 12.4(9)T are not vulnerable. First fixed in: 12.4(9)T7 12.4(11)T4 12.4(15)T |
12.4(15)T7 |
12.4XA |
Not Vulnerable |
|
12.4XB |
Not Vulnerable |
|
12.4XC |
Not Vulnerable |
|
12.4XD |
Not Vulnerable |
|
12.4XE |
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
12.4XF |
Not Vulnerable |
|
12.4XG |
Not Vulnerable |
|
12.4XJ |
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
12.4XK |
Vulnerable; first fixed in 12.4T |
12.4(15)T7 |
12.4XL |
Not Vulnerable |
|
12.4XM |
Not Vulnerable |
|
12.4XN |
Not Vulnerable |
|
12.4XP |
Not Vulnerable |
|
12.4XQ |
Not Vulnerable |
|
12.4XT |
Not Vulnerable |
|
12.4XV |
Vulnerable; contact TAC |
|
12.4XW |
12.4(11)XW1 |
12.4(11)XW9 |
12.4XY |
Not Vulnerable |
|
12.4XZ |
Not Vulnerable |
|
12.4YA |
Not Vulnerable |
|
回避策
この脆弱性のための既知の回避策はありません。この脆弱性に対処する唯一の既知のアクションは該当機器の設定でAIC HTTP ディープパケットインスペクションを無効にすることです。HTTP ディープパケットインスペクションを無効にすることで、ソフトウェアのアップグレードが実施されるまで残りのファイアウォール機能を動作させ続けることが可能となります。他の全てのファイアウォール機能は正常に動作し続けます。
AIC HTTP ディープパケットインスペクションの無効化
AIC HTTP ディープパケットインスペクションを無効にするには、policy-map type inspect layer4-policymapとpolicy-map type inspect http layer7-policymapの間の関連を削除します。以下の例では現在のコンフィギュレーションに続いて、AIC HTTP ディープパケットインスペクションの設定を削除する方法を示します。
!--- Existing Configuration ! parameter-map type inspect global ! class-map type inspect http match-any layer7-classmap class-map type inspect match-any layer4-classmap match protocol http ! policy-map type inspect http layer7-policymap class type inspect http layer7-classmap allow class class-default policy-map type inspect layer4-policymap class type inspect layer4-classmap inspect global service-policy http layer7-policymap class class-default ! zone security inside description ** Inside Network ** zone security outside description ** Outside Network ** zone-pair security in2out source inside destination outside description ** Zone Pair - inside to outside ** service-policy type inspect layer4-policymap
脆弱性が疑われるゾーンペアからサービスポリシーを削除します:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#zone-pair security in2out source inside destination outside Router(config-sec-zone-pair)#no service-policy type inspect layer4-policymap Router(config-sec-zone-pair)#exit
policy-map type inspect layer4-policymapとpolicy-map type inspect http layer7-policymapの間の関連を削除します:
Router(config)#policy-map type inspect layer4-policymap Router(config-pmap)#class type inspect layer4-classmap Router(config-pmap-c)#no service-policy http layer7-policymap Router(config-pmap-c)#exit Router(config-pmap)#exit
先ほどのゾーンペアに先ほどのサービスポリシーを適用しなおします:
Router(config)#zone-pair security in2out source inside destination outside Router(config-sec-zone-pair)#service-policy type inspect layer4-policymap Router(config-sec-zone-pair)#exit
必須ではありませんが、不要となったpolicy-map type inspect http layer7-policymapとclass-map type inspect http match-any layer7-classmapは設定から削除することを推奨します。
Router(config)#no policy-map type inspect http layer7-policymap Router(config)#no class-map type inspect http match-any layer7-classmap Router(config)#exit Router#
修正済みソフトウェアの入手
Ciscoはこの脆弱性に対処する無償のソフトウェアアップデートをリリースしました。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。
お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。
ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。
ご契約を有するお客様
サービス契約をされているお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ご契約を有するお客様は、通常の経路でそれを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手することができます。http://www.cisco.com.
サードパーティのサポート会社をご利用のお客様
シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。
回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール: tac@cisco.com
無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせのURLを知らせてください。サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml を参照してください。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
この脆弱性はCisco内部テストによって発見されました。
この通知のステータス: FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。
http://www.cisco.com/warp/public/707/cisco-sa-20080924-iosfw.shtml
ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。
- cust-security-announce@cisco.com
- first-bulletins@lists.first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。
更新履歴
Revision 1.1 |
2009-April-16 |
Removed references to the combined software table, as it is now outdated. |
Revision 1.0 |
2008-September-24 |
Initial public release |
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。
フィードバック