日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
このアドバイザリでは、Cisco VPN 3000シリーズコンセントレータおよびCisco VPN 3002 Hardware Clientの脆弱性について説明します。これらの脆弱性は、Cisco Bug ID CSCea77143(IPSec over TCP)、CSCdz15393(SSH)、およびCSCdt84906(ICMP)に記載されています。これらの脆弱性に対しては、影響を緩和するための回避策があります。Cisco VPN 3000シリーズコンセントレータおよびCisco VPN 3002 Hardware Clientバージョン4.0.1および3.6.7Fの最新バージョンのコードにアップグレードすると、これらのドキュメントに記載された脆弱性がすべて防御されます。
このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030507-vpn3k に掲載されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
Cisco VPN 3000シリーズコンセントレータは、これらの脆弱性の影響を受けます。このシリーズには、モデル3005、3015、3030、3060、3080、およびCisco VPN 3002 Hardware Clientが含まれます。
|
DDTS – 説明 |
該当するリリース |
|---|---|
|
CSCea77143 - IPSec over TCPの脆弱性を有効にする |
|
|
CSCdz15393:不正なSSH初期化パケットの脆弱性 |
|
|
CSCdt84906:malformed ICMP traffic vulnerability |
|
Cisco VPN 3000シリーズコンセントレータで該当ソフトウェアが実行されているかどうかを確認するには、Webインターフェイスまたはコンソールメニューでソフトウェアのリビジョンをチェックします。
脆弱性を含んでいないことが確認された製品
これらの脆弱性は、VPN ClientソフトウェアおよびCisco VPN 5000シリーズコンセントレータには影響を与えません。他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
次の表に、これらの脆弱性の詳細を示します。
|
DDTS – 説明 |
詳細 |
|---|---|
|
CSCea77143 - IPSec over TCPの脆弱性を有効にする |
VPN 3000シリーズコンセントレータのポートに対してIPSec over TCPを有効にすると、そのポートのTCPトラフィックがコンセントレータを通過してプライベートネットワークに到達できるようになります。 たとえば、IPSec over TCPがポート80を使用するように設定し、プライベートネットワークがパブリックネットワークからルーティング可能である場合、つまり、パブリックネットワーク上のワークステーションにプライベートネットワークのIPアドレス空間のゲートウェイとして設定されたVPN 3000シリーズコンセントレータがある場合は、パブリックネットワーク上のワークステーションからポート80を提供するように設定されたプライベートネットワーク上のWebサーバを認証なしでブラウズできます。別の例として、IPSec over TCPがポート80に設定されていなくても、デフォルトのポート10000に設定されていて、プライベートネットワーク上のポート10000でtelnet接続をリッスンしているサーバがある場合は、パブリックネットワーク上のワークステーションからそのサーバにtelnetできます。 IPSec over TCPの詳細については、/en/US/products/hw/vpndevc/ps2284/products_configuration_guide_chapter09186a008015ce2c.htmlにあるドキュメントを参照してください#1279809 |
|
CSCdz15393:不正なSSH初期化パケットの脆弱性 |
SSHセッションの初期セットアップ中に不正なSSH初期化パケットが送信されると、VPN 3000シリーズコンセントレータがリロードされる場合があります。 |
|
CSCdt84906:malformed ICMP traffic vulnerability |
不正なICMPパケットのフラッドは、VPN 3000シリーズコンセントレータのパフォーマンスを低下させ、コンセントレータのリロードを引き起こす可能性があります。 |
これらの脆弱性は、Cisco Bug Toolkit(登録ユーザ専用)にBug ID CSCea77143、CSCdz15393、およびCSCdt84906として文書化されており、2003年5月8日の1600 UTC以降に表示できます。このツールにアクセスするには、登録ユーザであり、ログインしている必要があります。
Inter networking Terms and Cisco Systems Acronymsのオンラインガイドは、http://www.cisco.com/univercd/cc/td/doc/cisintwk/にあります。
回避策
Cisco PSIRT では、該当ユーザが修正済みソフトウェア バージョンのコードにアップグレードすることを推奨しています。
|
DDTS – 説明 |
回避策 |
|---|---|
|
CSCea77143 - IPSec over TCPの脆弱性を有効にする |
プライベートインターフェイスのフィルタに、VPNコンセントレータのIPSec over TCPで使用するように設定されたポート上の発信トラフィックを制限するルールを追加します。これにより、パブリックネットワークからVPN 3000コンセントレータ自体に到達するトラフィックは停止されませんが、プライベートネットワーク上のサーバに到達するトラフィックは阻止されます。 |
|
CSCdz15393:不正なSSH初期化パケットの脆弱性 |
VPN 3000シリーズコンセントレータ上のSSHサーバへのアクセスを制限するには、インターフェイスのフィルタに適切なルールを適用して、信頼できるクライアントホストからの接続だけを許可するようにします。 |
|
CSCdt84906:malformed ICMP traffic vulnerability |
正規のICMPトラフィックだけがVPN 3000シリーズコンセントレータのインターフェイスに到達できるようにします。 |
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
|
DDTS – 説明 |
修正済みリリース |
|---|---|
|
CSCea77143 - IPSec over TCPの脆弱性を有効にする |
|
|
CSCdz15393:不正なSSH初期化パケットの脆弱性 |
|
|
CSCdt84906:malformed ICMP traffic vulnerability |
|
修正されたソフトウェアバージョンにアップグレードする手順については、http://www.cisco.com/univercd/cc/td/doc/product/vpn/vpn3000/を参照してください。
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
これらの脆弱性は、社内の開発テストによってPSIRTに報告されました。
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
URL
改訂履歴
|
リビジョン 1.0 |
2003年5月7日 |
初回公開リリース |
|
リビジョン 1.1 |
2003年5月7日 |
該当製品の表を修正。 |
|
リビジョン 1.2 |
2003年5月8日 |
「修正済みソフトウェアの入手」セクションのリンクを修正。 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。