Cisco Security Advisory: Vulnerability in Cisco IOS While Processing SSL Packet

脆弱性のある製品

脆弱性が存在しない製品

この脆弱性はSSLセッションの切断処理中に発生します。ユーザ名、パスワード、証明書のような有効な資格情報を所有している必要はありません。SSLプロトコルは転送プロトコルとしてTCPを使用します。完全なTCP 3 ウェイ ハンドシェイクの必要性により、スプーフィングされたIPアドレスの使用による本脆弱性の不正使用が発生する確率は低くなります。

SSLベースのサービスが設定された脆弱性のあるCisco IOS ソフトウェアが稼動している機器はSSLセッションの切断中にクラッシュします。

この脆弱性はCisco Bug ID CSCsj85065 ( 登録ユーザーのみ)で文書化され、Common Vulnerabilities and Exposures (CVE) IDとしてCVE-2008-3798が割り当てられています。

シスコは Common Vulnerability Scoring System（CVSS）の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価 （Base Score） および現状評価スコア （Temporal Score） を提供いたします。お客様はこれらを用いて環境評価スコア （Environmental Score） を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは以下の URLにてCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

この脆弱性の不正利用により、機器のクラッシュが発生する可能性があります。この不正利用が繰り返されると継続したDoS 攻撃となる可能性があります。

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、シスコ Technical Assistance Center（TAC） もしくは契約している保守会社にお問い合せください。

Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

セクション密接なセクション の上

脆弱性の存在する機器の不正使用を防ぐには、SSLベースのサービスを無効にする必要があります。しかし、定期メンテナンスや機器の運用にこのサービスを使用している場合、回避策はありません。

Cisco OSPの場合は回避策はHTTPSを使用する代わりにHTTPの使用に戻ることです。本回避策の短所は情報が保護されていないネットワーク上を送られることです。

以下のコマンドは脆弱性が存在するHTTPSサービスを無効にします:

Router(config)#no ip http secure-server

以下のコマンドは脆弱性が存在するSSL VPNサービスを無効にします:

Router(config)#no webvpn enable

以下のコマンドは脆弱性が存在するOSPサービスを無効にします:

Router(config)#no settlement

もう一つの方法は、HTTPSの代わりにHTTPを使用することです。この回避策の欠点は、課金情報がネットワークに保護されずに送信されることです。

許可されていないホストが本脆弱性の影響を受ける機器にアクセスするのを防ぐことで、本脆弱性を軽減することは可能です。

コントロールプレーンポリシング(CoPP)

コントロールプレーンポリシング: CoPPをサポートするCisco IOSソフトウェアバージョンではマネジメント・コントロールプレーンを狙った攻撃から機器を守る設定をすることができます。CoPPはCisco IOSリリースの12.0S, 12.2SX, 12.2S, 12.3T, 12.4, and 12.4Tトレインで使用可能です。

以下のCoPPの例では、permit指定されている不正利用パケットに合致するACLエントリーはpolicy-mapのdrop機能により廃棄されますが、一方、(設定では表示されていない)deny指定のACLエントリにマッチするパケットは廃棄されないことを示しています:

! Include deny statements up front for any protocols/ports/IP addresses that 
!-- should not be impacted by CoPP

! Include permit statements for the protocols/ports that will be governed by CoPP
access-list 100 permit tcp any any eq 443

!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.
!
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.
!
class-map match-all drop-SSL-class
 match access-group 100

!
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
!
policy-map drop-SSL-policy
 class drop-SSL-class
   drop
   
!-- Apply the Policy-Map to the Control-Plane of the
!-- device.
!
control-plane
 service-policy input drop-SSL-policy

注： 上記のCoPPの例では、不正利用パケットに合致するpermit指定されたACLエントリーはpolicy-mapのdrop機能で廃棄され、一方、deny指定に合致するパケットはpolicy-mapのdropコマンドの影響を受けないことを示しています。

CoPP機能の設定とその使用に関する追加の情報は次のリンクで確認できます: http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.shtmlおよびhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_feature_guide09186a008052446b.html

Access Control List (ACL)

Access Control List(ACL)を使用することで、この脆弱性を狙った攻撃を軽減するのに役立てることが可能です。ACLでは正当なソースからのパケットのみ機器に到達でき、それ以外は廃棄させるという記述が可能です。以下の例では信頼できるソースからの正当なSSLセッションのみ許可し、それ以外のSSLセッションを拒否する方法を示しています:

access-list 101 permit tcp host <legitimate_host_IP_address> host <router_IP_address> eq 443
access-list 101 deny tcp any any eq 443

Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サードパーティのサポート会社をご利用のお客様

サービス契約をご利用でないお客様

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20080924-ssl.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

• cust-security-announce@cisco.com
• first-bulletins@lists.first.org
• bugtraq@securityfocus.com
• vulnwatch@vulnwatch.org
• cisco@spot.colorado.edu
• cisco-nsp@puck.nether.net
• full-disclosure@lists.grok.org.uk
• comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。