Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Clientless SSL VPN 接続を許可するために設定された 8.0.4(34)、8.1.2(25)、および 8.2.1(3) 以前の Cisco ASA 適応型セキュリティ アプライアンス(ASA)ソフトウェア ソフトウェア バージョンは非認証を可能にする可能性があるユーザアカウント信任状を盗むために脆弱性がリモート攻撃者含まれています。Â バージョン 7.x は影響を受けていません。
脆弱性はソフトウェアが SSL VPN 機能で Common Internet File System(CIFS)および FTP 共有を使用しているとき不十分な警告および制限が原因です。ユーザがセキュア ポータルにログオンされる間、非認証が、リモート攻撃者ユーザを悪意のある CIFS か FTP サイトを参照するように確信できれば Â はユーザ サイト信任状を得る phishing か、またはスプーフィング攻撃の一部として、攻撃者この脆弱性を使用する可能性があります。
Cisco はこの脆弱性を確認し、更新済ソフトウェアをリリースしました。
脆弱性はきちんと CIFS を保護し、FTP する失敗が原因で Clientless SSL VPN が使用する機能を共有します。 は攻撃者ユーザがリンクに従うために攻撃者がユーザの可能性を高くする社会工学手法を使用するかもしれない SSL VPN. にログオンされる間、ユーザを悪意のある URL に続くように確信させる必要があります。エクスプロイトが正常なら  はリモートサーバに、攻撃者ユーザーの資格情報をキャプチャ し、未来の不正侵入で可能性のあるこれらの信任状を使用する可能性があります。
クレデンシャル盗難脆弱性をである共用利用可能示すコードを不正利用して下さい。
該当製品
Cisco は Cisco バグ ID CSCsy80709 のためのリリース ノート エンクロージャをリリースしました。
この脆弱性はチャールズ Henderson および Trustwave の SpiderLabs のデヴィッド・バーンによって Cisco に報告されました。
脆弱性のある製品
8.0.4(34)、8.1.2(25)、および 8.2.1(3) 以前の Cisco ASA ソフトウェア バージョンは ASA 5505、5510、5520、5540、5550、および 5580 のデバイスを on Cisco 実行しているとき影響を受けています。
Cisco ASA ソフトウェア バージョン 7.x は影響を受けていません。
脆弱性を含んでいないことが確認された製品
回避策
管理者は適切な更新を加えるように助言されます。
管理者は信頼されたユーザだけネットワーク アクセスをアクセスできることを許可するために助言されます。
管理者は管理上定義された Webサイトにユーザを制限するために Clientless SSL VPN ウェブ ポータルを設定するために助言されます。
管理者は内部か承認されたリソースだけにユーザを制限するために Web アクセス コントロール リスト(ACL)を設定するために助言されます。
ユーザは非請求リンクに従わないように助言されます。Â ユーザはそれらに続く前に予想外リンクの信頼性を確認する必要があります。
ユーザは信頼できない Webサイトかリンクを参照しないように助言されます。
修正済みソフトウェア
アクティブな契約を持つ Cisco カスタマは次のリンクで Software Center を通して更新を入手できます: Cisco。 契約のない Cisco カスタマは 1-800-553-2447 か 1-408-526-7209 でまたは tac@cisco.com で E メールで Cisco Technical Assistance Center にコンタクトをとってアップグレードを入手できます。
Software Center で Download ページ特派員は次のリンクで修正済みソフトウェアリリースが含まれています: ASA-PSIRT
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
URL
改訂履歴
Version | Description | Section | Status | 日付 |
1.0 | 初版リリース | 該当なし | Final | 2009-Jun-24 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。