Low
Low
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Wide Area Application Services(WAAS)ソフトウェアには、WAAS ソフトウェアを実行しているデバイス(WAE アプライアンスおよび NM-WAE-502 モジュール)で、データ トラフィックや管理トラフィックを含むすべての種類のトラフィックの処理が中断される可能性があるサービス拒否(DoS)の脆弱性があります。この状況は、WAAS ソフトウェアを実行しているデバイスが、Common Internet File System(CIFS)最適化を利用する Edge Services を提供するように設定されていて、ポート 139 または 445 で大量の TCP SYN パケットを受信した場合に発生する可能性があります。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。この脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070718-waas で公開されています。
該当製品
脆弱性のある製品
このドキュメントで説明されている脆弱性は、CIFS 最適化を利用する Edge Services を提供するように設定された WAE アプライアンスと NM-WAE-502 ネットワーク モジュールの両方に適用されます。Edge Services と CIFS 最適化は、デフォルトでは無効になっています。CIFS 機能は、WAAS Central Manager から手動で Edge Services が設定された場合にのみ使用可能になります。この脆弱性に該当するのは、WAAS ソフトウェアのバージョン 4.0.7 と 4.0.9 だけです。
Edge Services が設定されているかどうかを確認し、WAAS ソフトウェアのバージョン情報を表示するには、WAAS Central Manager の GUI を使用します。また、CLI から show version EXEC コマンドを実行した場合も、WAAS ソフトウェアのバージョン情報が表示されます。
Edge Services が設定されているかどうかを確認し、WAAS ソフトウェアのバージョン情報を表示するには、次の手順に従います。
-
WAAS Central Manager にログオンします。
-
Devices タブを選択します。
-
Services 列の下を確認します。Edge Services が設定されている場合は、「Edge」と表示されます。
-
Software Version 列の下を確認します。各デバイスのソフトウェア バージョンが表示されます。
次の例は、WAE アプライアンスの CLI から show version コマンドを実行した場合の出力を示しています。この例では、バージョン 4.0.9 が WAE で実行されています。
CE-115-16#show version Cisco Wide Area Application Services Software (WAAS) Copyright (c) 1999-2007 by Cisco Systems, Inc. Cisco Wide Area Application Services Software Release 4.0.9 (build b10 Apr 6 2007) Version: fe611-4.0.9.10 Compiled 15:26:06 Apr 6 2007 by cnbuild System was restarted on Sat Jun 16 05:03:41 2007. The system has been up for 33 minutes, 40 seconds. CE-115-16#
脆弱性を含んでいないことが確認された製品
このアドバイザリで明示的に指定されていない Cisco 製品および WAAS ソフトウェアのバージョンの中で、この脆弱性に該当するものは現在のところ見つかっていません。
CIFS 最適化を実行する Edge Services を提供するように設定されていない WAE アプライアンスと NM-WAE-502 モジュールはこの問題には該当しません。NM-WAE-302 は CIFS 最適化を使用するように設定できないため、この脆弱性には該当しません。
詳細
Cisco Wide Area Application Services ソリューションは、アプリケーション アクセラレーション技術と WAN 最適化技術の組み合せを使用して、アプリケーションや転送の遅延を緩和します。WAAS ソフトウェアは、このソリューションに含まれる Wide Area Application Engine アプライアンスおよび Wide Area Application Services Network モジュールで利用されます。
WAAS ソフトウェアの一部のバージョンには、WAAS ソフトウェアを実行しているデバイス(WAE アプライアンスおよび NM-WAE-502 モジュール)で、データ トラフィックや管理トラフィックを含むすべての種類のトラフィックの処理が中断される可能性がある DoS の脆弱性が存在します。WAAS デバイスで CIFS 最適化を使用する Edge Services が設定されていて、ポート 139 または 445 で大量の TCP SYN パケットを受信している場合は、この脆弱性により DoS 状態に陥る可能性があります。ポート 139 および 445 は WAAS ソフトウェアの CIFS 機能によって使用されます。この状態は WAAS プラットフォームに直接送信されるネットワーク トラフィック、またはホストスキャナ、ポートスキャナ、ネットワーク ワームなどの自動化システムよって引き起こされる可能性があります。
この脆弱性は、Cisco Bug ID CSCsi58809 (登録ユーザ専用)に記載されています。
回避策
WAAS ソフトウェアを実行しているデバイスで Edge Services を提供する必要がない場合は、Edge Services を無効にすることでこの問題を回避できます。Edge Services をオフにすると、CIFS キャッシュの動作や CIFS 遅延最適化に関連する応答時間の短縮というメリットを CIFS クライアントが受けられなくなる可能性があります。ただし、その他のレイヤ 4 最適化はアプリケーション ポリシー設定に従って引き続き適用されます。
CIFS アクセラレータと CIFS 自動ディスカバリ機能を含む Edge Services を無効にするには、次の手順に従います。
-
WAAS Central Manager にログインします。
-
Devices タブを選択します。
-
Devices カテゴリ(複数のデバイスをグループで使用している場合は Device Groups カテゴリ)を選択します。
-
該当するデバイスまたはグループを選択します。
-
Contents で、左側の列にある File Services を選択します。
-
File Services の下にある Edge configuration を選択します。
-
Enable Edge Server のチェックマークをはずします。
-
[Submit] をクリックします。
トランジット ACL(tACL)
TCP ポート 139 および 445 のパケットへのアクセスをブロックするフィルタを、トランジット アクセス リストの一部としてネットワーク エッジに配備することを推奨します。これにより、フィルタが設定されたルータだけなく、その背後にある他のデバイスも保護されます。また、信頼されている CIFS クライアントから信頼されている CIFS サーバに対してのみ TCP ポート 139 および 445 のパケットを許可するように、脆弱なネットワーク デバイスの手前にもフィルタを配備することを推奨します。
トランジットACLについての詳細は、次のリンクのWhite Paper『Transit Access Control Lists: Filtering at Your Edge』を参照してください。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml
WAAS クライアントでのトランジット ACL の設定については、http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v407/configuration/guide/ipacl.html にある『WAAS コンフィギュレーション ガイド』の「WAAS デバイス用の IP アクセス コントロール リストの作成と管理」の章を参照してください。
ネットワーク内の Cisco デバイスで配備できる他の緩和策については、https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20070718-waas にあるこのアドバイザリの関連ドキュメント『Cisco Applied Mitigation Bulletin』を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
この脆弱性は、Cisco WAAS ソフトウェアのバージョン 4.0.11 で修正されています。WAAS 公式ソフトウェア リリースには奇数で終わるバージョン番号が割り当てられています。これらのリリースは、次の URL からダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/waas40?psrtdcat20e2 にアクセスしてください。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、カスタマー サポートのサービス リクエストの解決中に発見されたものです。
URL
改訂履歴
|
リビジョン 1.1 |
2007 年 7 月 21 日 |
「脆弱性を含む製品」セクションに改行を追加 |
|
リビジョン 1.0 |
2007 年 7 月 18 日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。