Cisco VPN 5000シリーズコンセントレータのRADIUS PAP認証の脆弱性

ダウンロード オプション

  • PDF     (328.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (68.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2002 年 8 月 7 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

severity
severity
アドバイザリーID : cisco-sa-20020807-vpn5k-radius-pap
初公開日 : 2002-08-07 15:00
バージョン 1.0 : Final
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

クライアント接続の認証にRemote Authentication Dial In User Service(RADIUS)サーバを使用するようにVPN 5000シリーズコンセントレータが設定され、選択されたチャレンジタイプがPassword Authentication Protocol(PAP;パスワード認証プロトコル)またはChallenge(PAPのハイブリッド)である場合、最初に検証が失敗したときにRADIUSサーバに送信される検証リトライ要求にはユーザパスワードフィールドが暗号化されていないため、パスワードはクリアテキストとして送信されます。チャレンジハンドシェイク認証プロトコル(CHAP)を使用して認証するように設定されたVPN 5000シリーズコンセントレータは、この脆弱性の影響を受けません。

この脆弱性は、Cisco Bug ID CSCdx82483に記載されています。この脆弱性の影響を緩和する回避策があります。

このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020807-vpn5k-radius-pap に掲載されています。

該当製品

このセクションには、該当製品に関する詳細が掲載されています。

脆弱性のある製品

ソフトウェアリリース6.0.21.0002(およびそれ以前)および5.2.23.0003(およびそれ以前)を実行しているすべてのCisco VPN 5000シリーズコンセントレータハードウェアが、この脆弱性の影響を受けます。このシリーズには、モデル5001、5002、および5008が含まれます。

古いIntraPortシリーズコンセントレータハードウェアも、この脆弱性の影響を受けます。このシリーズには、IntraPort 2、IntraPort 2+、IntraPort Enterprise-2およびEnterprise-8、IntraPort Carrier-2、およびCarrier-8の各モデルが含まれます。

VPN 3000シリーズコンセントレータのハードウェアは影響を受けません。

使用しているソフトウェアのリビジョンを確認するには、コマンドラインインターフェイス(CLI)でshow versionコマンドを使用してリビジョンを確認します。

脆弱性を含んでいないことが確認された製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

ソフトウェアリリース6.0.21.0002(およびそれ以前)および5.2.23.0003(およびそれ以前)を実行し、PAP認証、アグレッシブモード(AM)、またはハイブリッドIKE拡張認証(XAUTH)モードを使用してクライアントを受け入れ、RADIUSサーバに対して検証するCisco VPN 5000シリーズコンセントレータハードウェアは、この脆弱性の影響を受けます。

VPN 5000シリーズコンセントレータは、3つのRADIUS通信タイプをサポートしています。[ RADIUS ]セクションキーワードChallengeTypeは、CHAP、PAP、またはChallengeのいずれかに設定できます。Challengeは、Axent Defenderの認証に使用される独自のタイプのPAPです。

PAPまたはChallengeが設定されている場合、リモートデバイスは名前とパスワードを含む認証要求をVPN 5000シリーズコンセントレータに送信します。VPN 5000シリーズコンセントレータは、内部データベースまたはRADIUSサーバのいずれかを使用して要求を検証し、認証の成功または失敗パケットを返します。

RADIUSサーバが使用されている場合、Access-RequestがRADIUSサーバに送信され、ユーザパスワードはRFCの指定に従って暗号化されます。ネットワークまたは設定の問題により、Access-Acceptパケットが特定の時間内に返されない場合、コンセントレータは再試行パケットを送信しますが、この再試行パケットでは、ユーザパスワードがクリアテキストとして送信されます。

この脆弱性は、Cisco Bug ID CSCdx82483(登録ユーザ専用)に記載されています。この脆弱性を表示するにはCCOアカウントが必要で、2002年8月8日の1500 UTC以降に表示できます。

回避策

回避策の1つは、[ RADIUS ]セクションでChallengeType = CHAPを設定して、認証にCHAPのみを使用することです。

認証にPAPを使用する必要がある場合は、設定のRadiusセクションでPrimRetriesキーワードの値を1に設定できます。これにより、再試行が無効になります。また、2番目の(バックアップ)RADIUSサーバがSecAddressで定義されている場合は、セカンダリRADIUSサーバへの最初の試行のパスワードがクリアテキストであるため、削除する必要があります。

完全な修正を行うには、修正済みのソフトウェアバージョンのコードにアップグレードしてください。

修正済みソフトウェア

この脆弱性は、ソフトウェアリリース6.0.21.0003(以降)および5.2.23.0004(以降)で修正されています。

修正済みソフトウェアバージョンにアップグレードする手順の詳細については、http://www.cisco.com/univercd/cc/td/doc/product/aggr/vpn5000/5000sw/conce60x/5000cfg/swinst.htmを参照してください。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、お客様からPSIRTに報告されたものです。

URL

改訂履歴

リビジョン 1.0

2000年8月7日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。