High

Download CVRF Email

High

アドバイザリーID : cisco-sa-20131009-fwsm
初公開日 : 2013-10-09 16:00
バージョン 1.0 : Final
CVSSスコア : 7.1
回避策 : No Workarounds available
Cisco バグ ID : CSCui34914 CSCue46080 CSCub98434
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco Firewall Services Module(FWSM)ソフトウェアは、次の脆弱性の影響を受けます。
  • Cisco FWSMコマンド許可の脆弱性
  • SQL*NetインスペクションエンジンのDoS脆弱性
これらの脆弱性は互いに独立しているため、一方の脆弱性の影響を受けるリリースは、もう一方の脆弱性の影響を受けない可能性があります。

Cisco FWSMのコマンド認可の脆弱性が悪用されると、該当システムの機密性、整合性、および可用性が完全に損なわれる可能性があります。SQL*Netインスペクションエンジンのサービス拒否の脆弱性が悪用されると、該当するデバイスのリロードが発生し、サービス拒否(DoS)状態が発生する可能性があります。

シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策があります。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131009-fwsm

注:Cisco Adaptive Security Appliance(ASA)は、SQL*NetインスペクションエンジンのDoS脆弱性の影響を受ける可能性があります。Cisco ASAに影響を及ぼす脆弱性については、別途Cisco Security Advisoryが公開されています。このアドバイザリは次のURLで入手できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131009-asa

該当製品

Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco FWSMソフトウェアは、2つの脆弱性の影響を受けます。影響を受けるCisco FWSMソフトウェアのリリースは、特定の脆弱性によって異なります。影響を受けるリリースの詳細については、このセキュリティアドバイザリの「ソフトウェアバージョンと修正」セクションを参照してください。

Cisco FWSMは、ソフトウェアメンテナンスリリースのマイルストーンの終了に達しました。Cisco FWSMをご使用のお客様は、シスコの担当者に連絡して交換品を入手することをお勧めします。

脆弱性のある製品

Cisco FWSMコマンド許可の脆弱性

この脆弱性は、マルチコンテキストモードで設定されたCisco FWSMソフトウェアのデフォルト設定に影響します。Cisco FWSMソフトウェアがマルチコンテキストモードで実行されているかどうかを確認するには、 show modeコマンドを使用します。次の例は、マルチコンテキストモードで実行されているCisco FWSMソフトウェアを示しています。 
ciscofwsm# show mode
Security context mode: multiple
注:マルチコンテキストモードはデフォルトでは有効になっていません。ただし、このオプションを有効にして少なくとも1つのユーザコンテキストを設定すると、システムに脆弱性が生じます。3.1(8)および3.2(4)より前のCisco FWSMソフトウェアリリースは、この脆弱性の影響を受けません。


SQL*NetインスペクションエンジンのDoS脆弱性

SQL*Netインスペクションが有効になっている場合、Cisco FWSMソフトウェアはこの脆弱性の影響を受けます。SQL*Netインスペクションが有効になっているかどうかを確認するには、 show service-policy | include sqlnetコマンドを使用します。次の例は、SQL*Netインスペクションが有効になっているCisco FWSMソフトウェアを示しています。 
ciscofwsm# show  service-policy | include sqlnet
 Inspect: Inspect: sqlnet, packet 0, drop 0, reset-drop 0
注意: SQL *Netインスペクションはデフォルトで有効になっています。

実行ソフトウェア バージョンの判別

デバイスで実行されているCisco FWSMソフトウェアのバージョンを確認するには、次の例に示すように、管理者は show versionコマンドを発行できます。 
FWSM> show version

FWSM Firewall Version 4.0(16)
[...]
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理しているお客様は、ログインウィンドウの表またはCisco ASDMウィンドウの左上隅に表示されるソフトウェアのバージョンを確認できます。バージョン表記は次の例のようになります。 
FWSM Version: 4.0(16)
バージョン情報は、Cisco Catalyst 6500シリーズスイッチまたはCisco 7600シリーズルータからも入手できます。  デバイスで実行されているCisco FWSMソフトウェアのバージョンを確認するには、Cisco IOSソフトウェアまたはCisco Catalystオペレーティングシステムソフトウェアから show moduleコマンドを発行して、システムにインストールされているモジュールとサブモジュールを特定します。

次の例は、Cisco FWSM(WS-SVC-FWM-1)がスロット2にインストールされているシステムを示しています。 
switch>show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1   16  SFM-capable 16 port 1000mb GBIC        WS-X6516-GBIC      SAL06334NS9
  2    6  Firewall Module                        WS-SVC-FWM-1       SAD10360485
  3    8  Intrusion Detection System             WS-SVC-IDSM-2      SAD0932089Z
  4    4  SLB Application Processor Complex      WS-X6066-SLB-APC   SAD093004BD
  5    2  Supervisor Engine 720 (Active)         WS-SUP720-3B       SAL0934888E

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  1  0009.11e3.ade8 to 0009.11e3.adf7   5.1   6.3(1)       8.7(0.22)BUB Ok
  2  0018.ba41.5092 to 0018.ba41.5099   4.0   7.2(1)       4.0(16)      Ok
  3  0014.a90c.9956 to 0014.a90c.995d   5.0   7.2(1)       7.0(4)E4     Ok
  4  0014.a90c.66e6 to 0014.a90c.66ed   1.7   Unknown      Unknown      PwrDown
  5  0013.c42e.7fe0 to 0013.c42e.7fe3   4.4   8.1(3)       12.2(33)SXH8 Ok

[...]
正しいスロットを見つけたら、 show module <slot number>コマンドを発行して、次の例に示すように、実行中のソフトウェアバージョンを特定します。 
switch>show module 2
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  2    6  Firewall Module                        WS-SVC-FWM-1       SAD10360485

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  2  0018.ba41.5092 to 0018.ba41.5099   4.0   7.2(1)       4.0(16)      Ok

[...]
上の例は、Cisco FWSMがソフトウェアバージョン4.0(16)を実行していることを示しています(Sw列を参照)。

仮想スイッチングシステム(VSS)を使用して、2台の物理Cisco Catalyst 6500シリーズスイッチを1つの論理仮想スイッチとして動作させることができる場合は、 show module switch allコマンドを使用して、スイッチ1とスイッチ2に属するすべてのFWSMのソフトウェアバージョンを表示できます。このコマンドの出力は、 show module <slot number>の出力に似ていますが、VSS内の各スイッチのモジュールに関するモジュール情報が含まれています。

脆弱性を含んでいないことが確認された製品

Cisco ASAソフトウェアを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

Cisco FWSMは、Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用の高速な統合ファイアウォールモジュールです。FWSMは、ステートフルパケットフィルタリングとディープパケットインスペクションを備えたファイアウォールサービスを提供します。

Cisco FWSMは、次のセクションで説明する2つの脆弱性の影響を受けます。

Cisco FWSMコマンド許可の脆弱性

Cisco Firewall Services Module(FWSM)の認証コードにおける脆弱性により、認証されているものの権限のないローカルの攻撃者が、該当システムの他のコンテキストの設定を削除、変更、または表示する可能性があります。

この脆弱性は、影響を受けるシステムがマルチコンテキストモード用に設定されている場合に、ユーザコンテキスト内の特定の管理コマンドに対する不十分な許可セーフガードに起因します。攻撃者は、該当システムの任意のユーザコンテキストで特定のコマンドを実行することにより、この脆弱性を不正利用する可能性があります。

注:攻撃者がこの脆弱性を不正利用するには、少なくとも1つのユーザコンテキストのコマンドラインインターフェイスにアクセスし、該当するコマンドを実行するのに十分な権限を持っている必要があります。この脆弱性は、マルチコンテキストモードで設定されたCisco FWSMがルーテッドファイアウォールモードまたはトランスペアレントファイアウォールモードのいずれかである場合にのみ影響を与えます。

この脆弱性は、Cisco Bug ID CSCue46080( 登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-5506が割り当てられています。


SQL*NetインスペクションエンジンのDoS脆弱性

SQL*Netプロトコルは、Cisco FWSMのSQL*Netインスペクションエンジンがデータストリームがファイアウォールの両側のOracleアプリケーションと一致するように制御するさまざまなパケットタイプで構成されます。

SQL*Netインスペクションエンジンコードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、セグメント化されたトランスペアレントネットワークサブストレート(TNS)パケットの不適切な処理に起因します。攻撃者は、該当システムを介して、巧妙に細工されたセグメント化されたTNSパケットのシーケンスを送信することにより、この脆弱性を不正利用する可能性があります。

注:この脆弱性の不正利用に使用できるのは、通過トラフィックだけです。この脆弱性は、シングルコンテキストモードとマルチコンテキストモードの両方で、ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードの両方に影響します。この脆弱性は、IPバージョン4(IPv4)およびIPバージョン6(IPv6)のトラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCui34914( 登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-5508が割り当てられています。

回避策

Cisco FWSMのコマンド許可の脆弱性を軽減する回避策はありません。

SQL*Netインスペクションを無効にすると、SQL*NetインスペクションエンジンのDoS脆弱性が軽減されます。次のコマンドは、デフォルトのSQL*Netインスペクション設定を無効にします。 
    ciscofwsm(config)# policy-map global_policy
    ciscofwsm(config-pmap)# class inspection_default
    ciscofwsm(config-pmap-c)# no inspect sqlnet

修正済みソフトウェア

ソフトウェアのアップグレードを検討する場合は、 http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

次の表に、各脆弱性に対する最初の修正済みリリースの情報を示します。最後の行は、このセキュリティアドバイザリに含まれる両方の脆弱性を修正するリリースに関する情報を提供します。

   3.1
3.2
4.0
4.1
CSCue46080:Cisco FWSMのコマンド認可の脆弱性 3.2.x以降への移行1
 3.2(25)1 4.1.(14)以降への移行が必要
4.1(13)

CSCui34914 - SQL*NetインスペクションエンジンのDoS脆弱性 		3.2.x以降への移行 3.2(27) 4.1(14) 以降に移行
 4.1(14)
このアドバイザリに記載されているすべての脆弱性を修正する推奨リリース
 3.2.x以降への移行 3.2(27) 4.1(14) 以降に移行 4.1(14)



1 3.1(8)および3.2(4)より前のCisco FWSMソフトウェアリリースは、この脆弱性の影響を受けません。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。

これらの脆弱性は、サポートケースの解決中に発見されました。

URL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131009-fwsm

改訂履歴

リビジョン 1.0 2013年10月9日 初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。