Cisco Global Site SelectorアプライアンスのDNS脆弱性

ダウンロード オプション

  • PDF     (371.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (72.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 1 月 7 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20090107-gss
初公開日 : 2009-01-07 16:00
バージョン 1.1 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Application Control Engine(ACE)Global Site Selector(GSS)には、GSS上のDNSサービスのクラッシュの原因となる特定のドメインネームシステム(DNS)要求を処理する際の脆弱性が存在します。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。

この脆弱性に対しては回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090107-gss で公開されています。

該当製品

3.0(1)より前のすべてのバージョンのGSSシステムソフトウェアが、この脆弱性の影響を受けます。GSSがオプションのCisco Network Registrar(CNR)ソフトウェアで設定されている場合、そのデバイスには脆弱性はありません。

脆弱性のある製品

次のGSS製品がこの脆弱性の影響を受けます。

  • Cisco GSS 4480 Global Site Selector
  • Cisco GSS 4490 Global Site Selector
  • Cisco GSS 4491 Global Site Selector
  • Cisco GSS 4492Rグローバルサイトセレクタ

GSSデバイスで実行されているソフトウェアを確認するには、デバイスにログインして、show versionコマンドを発行し、システムソフトウェアバナーを表示します。バージョンは、Versionで始まる行に示されます。次の例は、システムソフトウェア2.0(1)が稼働するGSSを示しています。

gss.cisco.com#show version

Global Site Selector (GSS)
Model Number: GSS-4491-k9
Copyright (c) 1999-2007 by Cisco Systems, Inc.

Version 2.0(1)

Uptime: 19 Hours 18 Minutes and 14 seconds

gss.cisco.com#

GSSデバイスでCNRが有効になっているかどうかを確認するには、デバイスにログインしてshow running-config | grep cnrコマンドを使用して、システムCNRの設定を表示します。CNRが有効になっている場合、出力にcnr enableが表示されます。CNRが無効な場合、cnr enableは表示されません。次の例は、CNRが有効になっていないGSSを示しています。

GSS.cisco.com#show running-config | grep cnr
no cnr enable
GSS.cisco.com#

脆弱性を含んでいないことが確認された製品

次の製品には脆弱性が存在しないことが確認されています。

  • Cisco Network Registrarとのインタラクションを使用したCisco Global Site Selector
  • Cisco Application Control Engineモジュール
  • Cisco Network Registrar
  • Ciscoコンテンツサービススイッチ(CSS)

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

Cisco GSSプラットフォームにより、お客様は、複数の分散およびミラー・データの場所にわたるグローバルなコンテンツ展開を活用して、サイト選択の最適化、DNS(ドメイン・ネーム・システム)の即応性の向上、データ・センターの可用性の確保を実現できます。

GSSは従来のDNS階層に挿入され、Cisco CSS、Cisco Content Switching Module(CSM)、またはサードパーティ製のサーバロードバランサ(SLB)と密接に統合されて、お客様のデータセンターのSLBの状態と負荷を監視します。GSSは、この情報とユーザ指定のルーティングアルゴリズムを使用して、最適で負荷の少ないデータセンターをリアルタイムで選択します。

DNS要求の特定のシーケンスを処理する際に、GSSに脆弱性が存在します。この脆弱性が不正利用されると、GSS上のDNSサービスがクラッシュする可能性があります。

DNSサーバがクラッシュすると、次の例のようなエラーメッセージがログに表示されます。

Dec 18 04:47:21 gss NMR-6-LAUNCHSVR_EXIT[27261] dnsserver' has exited [ExitUnknown(139)]"

この脆弱性は、Cisco Bug ID CSCsj70093(登録ユーザ専用)に記載されています。

この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3819が割り当てられています。

回避策

この脆弱性を回避するには、管理者がプロパティ「ServerConfig.dnsserver.returnError」(ゼロに設定)を無効にする必要があります。GSSバージョン1.1(x)、1.2(x)、および1.3(x)では、このプロパティはデフォルトで無効になっています。

GSSバージョン2.0(x)では、このプロパティはデフォルトで有効になっています(1に設定)。

次の例は、このプロパティを無効にする方法を示しています。

GSS#config terminal
    GSS(config)#property set ServerConfig.dnsserver.returnError 0
    GSS(config)#exit
    GSS#write memory

回避策が正しく適用されていることを確認するには、特権EXECモードでshow propertiesコマンドを実行し、返された応答に「ServerConfig.dnsserver.returnError」パラメータがゼロに設定されていることを確認します。次の例は、回避策が正しく適用されていることを確認する方法を示しています。

gss.cisco.com#show properties | grep ServerConfig.dnsserver.returnError 
         ServerConfig.dnsserver.returnError                 : 0

プロパティを有効にするには、GSSを停止して再起動する必要があります。

GSS#gss stop
    GSS#gss start

注: 

  1. GSSバージョン3.0(x)は、このアドバイザリに記載されている問題の影響を受けません。
  2. GSSバージョン1.x(y)は、ネガティブリターンプロパティがデフォルト設定から変更されていない限り、アドバイザリに記載された問題の影響を受けません。[GSSバージョン1.1(x)、1.2(x)、および1.3(x)は、このプロパティを無効にして出荷されます。GSSバージョン1.0(x)では、propertyコマンドのユーザによるカスタマイズは許可されていません]。
  3. GSSバージョン2.0.xには脆弱性が存在します。[GSSバージョン2.0.xでは、このプロパティが有効になっています]。

回避策のメカニズム

GSSに一致するドメインがないクエリがある場合、そのようなクエリはドロップされ、DNSQueriesUnmatchedカウンタが増分されます。回避策の副作用として、ドメインが一致しないクエリに対する否定応答NXDOMAIN、NODATAのいずれも送信されません。

回避策の影響

  1. GSSで権限ドメインが設定されていない場合、エンドユーザが認識する影響はありません。
  2. GSS上にAuthority Domainsが設定されており、否定応答を無効にするとリゾルバへの通信が行われなくなるため、リゾルバは、応答の欠如がネットワーク障害によるものか、またはそのドメインがGSSによってサポートされなかったものであるかを示す情報を受信しません。この知識不足により、リゾルバは、DNSクライアントからこのようなドメインの要求を受信した場合、GSSに存在しないドメインに対して同じクエリを再度送信しようとします。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

GSSメジャーバージョン

First Fixed Release(修正された最初のリリース)

推奨リリース

1.x(y)

Vulnerable;

オプション1:3.0(1)以降に移行します。

オプション2:2.0(5)以降に移行します。

3.0(2)

2.x(y)

脆弱性あり、2.0(5)以降に移行してください。

3.0(2)

3.x(y)

脆弱性なし

GSS修正済みシステムソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/gss-3des?psrtdcat20e2からダウンロードできます。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRTは、このアドバイザリに記載されている脆弱性の悪用が発生したアクティブな不正利用を認識しています。

この脆弱性は、お客様のTACサービスリクエストを調査することで発見されました。

URL

改訂履歴

リビジョン 1.1

2009-November-12

回避策の更新

リビジョン 1.0

2009年1月7日

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。