Cisco Security Advisory: Cisco TelePresence System Integrator C Series and Cisco TelePresence EX Series Device Default Root Account Manufacturing Error
Advisory ID: cisco-sa-20111109-telepresence-c-ex-series
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111109-telepresence-c-ex-series
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
Revision 1.2
Last Updated 2011 November 15 15:45 UTC (GMT)
For Public Release 2011 November 9 16:00 UTC (GMT)
目次
要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウェア バージョンおよび修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス:FINAL
情報配信
更新履歴
シスコ セキュリティ手順
要約
Cisco TelePresence System Integrator C シリーズおよび Cisco TelePresence EX シリーズ デバイスで稼動するソフトウェアは、TC4.0 リリース以降、安全なデフォルト構成を含むよう更新されています。この変更に関し、シスコ セキュリティ アドバイザリ cisco-sa-20110202-tandberg が過去にリリースされています。
しかし、製造時のエラーのため、2010 年 11 月 18 日から 2011 年 9 月 19 日までの間に出荷された Cisco TelePresence System Integrator C シリーズおよび Cisco TelePresence EX シリーズ デバイスは、root アカウントが有効になっている可能性があります。
影響を受けるデバイスを識別する方法については、このアドバイザリの「詳細」セクションを参照してください。
この問題を修正する方法については、このアドバイザリの「回避策」セクションを参照してください。
このアドバイザリは次のリンクに掲載されます。 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111109-telepresence-c-ex-series該当製品
脆弱性が存在する製品
指定の期間内に出荷された Cisco TelePresence System Integrator C シリーズ、Cisco TelePresence EX シリーズ、Cisco TelePresence Quick Set 製品はすべて該当する可能性があります。管理者は、次のリンクにある Serial Number Validator を使用してデバイスのステータスを確認することができます。http://serialnumbervalidation.com/PSIRT-20111026
この Serial Number Validator ツールは、製品が出荷されたときにデバイスが影響を受けていたかどうかを表示します。出荷時の状態へのリセットまたはソフトウェア アップグレードが行われた場合、または手動による何らかの構成変更が行われた場合、そのデバイスは影響を受けない可能性があります。
脆弱性が存在しない製品
詳細
Cisco TelePresence System Integrator C シリーズおよび Cisco TelePresence EX シリーズ デバイスは、1 対 1 またはグループによるテレプレゼンス電話において、インタラクティブでイマーシブなエクスペリエンスを実現します。
デフォルト root アカウント
製造と配布プロセス中に発生したエラーによって、該当する製品が安全性に欠ける構成で出荷された可能性があります。この脆弱性は、ライセンスまたはオプションの構成やテストを行った後に、デバイスをデフォルト構成に戻すことが失敗することに起因します。
該当するデバイスのうち、root アカウントが有効にされ、デフォルトのパスワードによく知られたパスワードが設定されている場合、影響を受ける可能性があります。root アカウントは、デバイス管理者が特定のデバッグ操作を実行する際に有効化され、デフォルトでは無効にされている必要があります。
管理者は次のいずれかの方法を使用して、該当するデバイスの構成を検証することができます。
TC4.0 または 4.1 ソフトウェアが稼動している場合、そのデバイスのシリアル番号を確認するには、該当するデバイスのコマンド ラインに admin アカウントでログインし、xstatus systemunit hardware コマンドを発行します。
シリアル番号の確認:
ssh admin@203.113.55 Welcome to TANDBERG Codec Release TC4.1.0.247017 SW Release Date: 2011-01-28 OK xstatus SystemUnit Hardware
*s SystemUnit Hardware Module SerialNumber: "A1AR12C00024"
*s SystemUnit Hardware Module Identifier: "01"
*s SystemUnit Hardware Module CompatibilityLevel: 0 *s SystemUnit Hardware MainBoard SerialNumber: "F0095649"
*s SystemUnit Hardware MainBoard Identifier: "101540-4 [00]"
*s SystemUnit Hardware VideoBoard SerialNumber: "N/A"
*s SystemUnit Hardware VideoBoard Identifier: "0--1 [N/A]"
*s SystemUnit Hardware AudioBoard SerialNumber: "N/A"
*s SystemUnit Hardware AudioBoard Identifier: "0--1 [N/A]"
*s SystemUnit Hardware BootSoftware: "U-Boot 2010.06-89"
** end
root アカウントの状態の確認:
ソフトウェア リリース TC4.0 で生じた機能的欠陥の結果、systemtools rootsettings get コマンドは常に off の値を返します。ソフトウェア リリース TC4.0 または TC4.1 を稼動しているデバイスの root アカウントの状態を正確に判定するためには、管理者は root として、該当するデバイスへの SSH 接続を試みる必要があります。
root アカウントが有効:
ssh root@203.0.113.55 [tandberg:‾] $
root アカウントが無効:
ssh root@203.0.113.55 Password: Password: Password: Permission denied (publickey,keyboard-interactive)
ソフトウェア リリース TC4.2 が稼動している場合、そのデバイスのシリアル番号または root アカウントの状態を確認するには、該当するデバイスのコマンド ラインに admin アカウントでログインし、次のコマンドのいずれかを発行します。
シリアル番号の確認:
ssh admin@203.0.113.55 Welcome to TANDBERG Codec Release TC4.2.0.260857 SW Release Date: 2011-07-11 OK xstatus SystemUnit Hardware
*s SystemUnit Hardware Module SerialNumber: "A1AR12C00024"
*s SystemUnit Hardware Module Identifier: "01"
*s SystemUnit Hardware Module CompatibilityLevel: 0 *s SystemUnit Hardware MainBoard SerialNumber: "F0095649"
*s SystemUnit Hardware MainBoard Identifier: "101540-4 [00]"
*s SystemUnit Hardware VideoBoard SerialNumber: "N/A"
*s SystemUnit Hardware VideoBoard Identifier: "0--1 [N/A]"
*s SystemUnit Hardware AudioBoard SerialNumber: "N/A"
*s SystemUnit Hardware AudioBoard Identifier: "0--1 [N/A]"
*s SystemUnit Hardware BootSoftware: "U-Boot 2010.06-89"
** end OK
root アカウントの状態の確認:
管理者は systemtools rootsettings get コマンドを発行し、root アカウントの現在の状態を取得することができます。コマンドは次のいずれかの値を返します。
- off(root ユーザは無効)
- never(root ユーザは永久的に無効)
- serial [password](root ユーザはシリアル ポートのみで利用可能)
- on [password](root ユーザはすべてのポートで利用可能)
ssh admin@203.0.113.55 Welcome to TANDBERG Codec Release TC4.1.0.247017 SW Release Date: 2011-01-28 OK systemtools rootsettings get off OK
コマンドが off または never を返した場合、root アカウントは無効であり、そのデバイスは影響を受けません。
脆弱性スコア詳細
影響
ソフトウェア バージョンおよび修正
ソフトウェアのアップグレードを検討する際には、 http://www.cisco.com/go/psirt/ および本アドバイザリ以降に公開のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
回避策
この脆弱性は、次の対応策のいずれかを実施することで修正できます。
- 管理者が admin コマンドライン インターフェイスで systemtools rootsettings [off|never] コマンドを発行し、root アカウントを手動で無効化する。
- 管理者が該当するデバイスを出荷時の状態にリセットする。
root ユーザを無効にする:
ssh admin@203.0.113.55 Welcome to TANDBERG Codec Release TC4.2.0.260857 SW Release Date: 2011-07-11 OK systemtools rootsettings off OK Connection to 203.0.113.55 closed by remote host.
デバイスを出荷時の状態にリセットすると、次のものがリセットされます。
- 出荷時のデフォルト パスワード
- 出荷時のデフォルト構成(Session Initiation Protocol(SIP)および H.323 設定を含む)
- ローカルの電話帳
- すべてのログ
- DHCP 情報
デバイスにインストール済みのソフトウェア リリースおよび任意のオプション キーはそのまま残ります。
管理者は次の手順に従い、出荷時の状態にリセットできます。
コマンド ラインによる出荷時設定へのリセット(C20、C40、C60、C90、EX60、EX90 コーデック):
ssh admin@203.0.113.55 Welcome to TANDBERG Codec Release TC4.2.0.260857 SW Release Date: 2011-07-11 OK xCommand systemunit FactoryReset Confirm: Yes
その後、デバイスは再起動します。完了すると、デバイスは出荷時のデフォルト状態にリセットされるため、使用を開始するにはさらに構成が必要となります。
Cisco TelePresence System Integrator C シリーズおよび Cisco TelePresence EX シリーズ デバイスの一部は、物理デバイス上で一連の操作を実行することで出荷時のデフォルト状態に戻すこともできます。この方法を実行する場合は、デバイスの操作ガイドを参照してください。
修正済みソフトウェアの入手
お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。お客様はソフトウェア アップグレードをインストール、ダウンロード、アクセス、またはその他の方法で利用することにより、 http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html または http://www.cisco.com/public/sw-center/sw-usingswc.shtml に記載されているシスコのソフトウェア ライセンス条件に同意したものと見なされます。
ソフトウェアのアップグレードに関し、psirt@cisco.com もしくは security-alert@cisco.com にお問い合わせいただくことはご遠慮ください。
サービス契約をご利用のお客様
サードパーティのサポート会社をご利用のお客様
回避策の効果は、使用製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービス プロバイダーやサポート会社にご相談ください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。
- +1 800 553 2447(北米内からのフリー ダイヤル)
- +1 408 526 7209(北米以外からの有料通話)
- 電子メール:tac@cisco.com
無償アップグレードの対象であることをご証明いただくために、製品のシリアル番号と、このお知らせの URL をご用意ください。サービス契約をご利用でないお客様に対する無償アップグレードは、TAC 経由でご要求いただく必要があります。
さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、 http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
この脆弱性は、該当するデバイスの社内検査中に発見されたものです。
この通知のステータス:FINAL
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズはいつでも本ドキュメントの変更や更新を実施する権利を有します。
後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。
情報配信
本アドバイザリは、次のシスコのワールドワイド Web サイト上に掲載されます。
ワールドワイド Web 以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで投稿されています。
- cust-security-announce@cisco.com
- first-teams@first.org
- bugtraq@securityfocus.com
- vulnwatch@vulnwatch.org
- cisco@spot.colorado.edu
- cisco-nsp@puck.nether.net
- full-disclosure@lists.grok.org.uk
- comp.dcom.sys.cisco@newsgate.cisco.com
このアドバイザリに関する今後の更新は、いかなるものもシスコのワールドワイド Web サイトに掲載される予定です。しかしながら、前述のメーリング リストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。
更新履歴
| Revision 1.2 |
2011-November-15 |
Command example updated to match description text. |
| Revision 1.1 |
2011-November-9 |
Corrected link to 2011-Feb-2 Security Advisory. |
| Revision 1.0 |
2011-November-9 |
Initial public release. |
シスコ セキュリティ手順
シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコ ワールドワイド Web サイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページには、シスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。
フィードバック