Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130508-cvp
該当製品
脆弱性のある製品
脆弱性を含んでいないことが確認された製品
詳細
Cisco Unified Customer Voice PortalソフトウェアのSIP INVITEパケットの脆弱性
Cisco Unified CVPのCallServerコンポーネントに存在する不正なSIP INVITEの脆弱性により、認証されていないリモートの攻撃者によってシステムが新しいコールを受け入れなくなる可能性があります。
この脆弱性は、不正なSIP INVITEパケットの不適切な処理に起因します。攻撃者は、不正なSIP INVITEパケットをCisco Unified CVPサーバに送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCua65148(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1220が割り当てられています。
Cisco Unified Customer Voice PortalソフトウェアのTomcat Webアプリケーションの脆弱性
Cisco Unified CVPのTomcat Web ManagementコンポーネントのTomcat Webアプリケーションの脆弱性により、認証されていないリモートの攻撃者が権限を昇格し、管理者アクセス権を取得する可能性があります。
この脆弱性は、Tomcatコンポーネントの不適切な設定に起因します。
この脆弱性は、Cisco Bug ID CSCub38384(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1221が割り当てられています。
Cisco Unified Customer Voice PortalソフトウェアのTomcat設定の脆弱性
Cisco Unified CVPのTomcat Web ManagementコンポーネントにおけるTomcat Webアプリケーションの脆弱性により、認証されていないリモートの攻撃者が、不正なユーザ提供のWebアプリケーションを実行する可能性があります。
この脆弱性は、Tomcatコンポーネントの不適切な設定に起因します。
この脆弱性は、Cisco Bug ID CSCub38379(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1222が割り当てられています。
Cisco Unified Customer Voice Portalソフトウェアのファイルアクセスの脆弱性
Cisco Unified CVPのログビューアにおけるファイルアクセスの脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを表示する可能性があります。
この脆弱性は、誤ったパラメータチェックに起因します。攻撃者は、ログビューアに巧妙に細工された要求を送信することにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCub38372(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1223が割り当てられています。
Cisco Unified Customer Voice Portalソフトウェアのパストラバーサルの脆弱性
Cisco Unified CVPのリソースマネージャコンポーネントのパストラバーサルの脆弱性により、認証されていないリモートの攻撃者がシステムファイルを上書きする可能性があります。
この脆弱性は、誤ったパラメータチェックに起因します。攻撃者は、巧妙に細工された要求をリソースマネージャに送信することにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCub38369(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1224が割り当てられています。
Cisco Unified Customer Voice PortalソフトウェアのXMLエンティティ拡張の脆弱性
Cisco Unified CVPのファイルアクセスの脆弱性により、認証されていないリモートの攻撃者が任意のシステムファイルを表示する可能性があります。
この脆弱性は、XMLエンティティ拡張のチェックがないことに起因します。攻撃者は、巧妙に細工された要求をリソースマネージャに送信することにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCub38366(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-1225が割り当てられています。
回避策
回避策は、Cisco Bug ID CSCub38366(登録ユーザ専用)に記載されているCisco Unified Customer Voice Portal(CVP)ソフトウェアのXMLエンティティ拡張の脆弱性で利用可能です。
Cisco Unified Customer Voice PortalソフトウェアのXMLエンティティ拡張の脆弱性の回避策を実装するには、Cisco Unified CVPデバイス間の通信がSSLを使用して保護されている必要があります。Cisco Unified CVPデバイス間の通信を保護する方法の詳細については、次の場所にある『Configuration and Administration Guide for Cisco Unified Customer Voice Portal』の「Unified CVP security」セクションを参照してください。
http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp9_0/configuration/guide/cvp-configuration-and-administration-guide.pdf
Cisco Unified Customer Voice Portal(CVP)ソフトウェアのTomcat Webアプリケーションの脆弱性に対する回避策を実装するには、CVPサーバのTomcatインスタンスからManagerおよびHost-Manager Webアプリケーションを手動で削除する必要があります。次の手順に従って、マネージャとホストマネージャのWebアプリケーションを削除します。
各サーバのサービスを停止します。
「manager」および「host-manager」Webアプリケーションは、CVPサーバのTomcatインスタンスから手動で削除する必要があります。
CVP VXMLサーバCVP:Insecure Tomcat Configuration Instance(安全でないTomcat設定インスタンス)の回避策については、Cisco Bug ID CSCub38379(登録ユーザ専用)を参照してください。
C:\Cisco\CVP\VXMLServer\Tomcat\server\webappsフォルダに移動します。ManagerフォルダとHost-Managerフォルダを削除します。
CVP コール サーバ
C:\Cisco\CVP\CallServer\Tomcat\server\webappsフォルダに移動します。ManagerフォルダとHost-Managerフォルダを削除します。
CVPオペレーションコンソールサーバ
C:\Cisco\CVP\OPSConsoleServer\Tomcat\server\webappsフォルダに移動します。ManagerフォルダとHost-Managerフォルダを削除します。
CVP レポート サーバ
C:\Cisco\CVP\CallServer\Tomcat\server\webappsフォルダに移動します。ManagerフォルダとHost-Managerフォルダを削除します。
CVP:Insecure Tomcat Configuration Instanceの回避策を実装するには、次の手順を実行します。
VXML Serverのサービスを停止します。このドキュメントで公開されているその他の脆弱性には、回避策はありません。
C:\Cisco\CVP\VXMLServer\Tomcat\confフォルダに移動し、server.xmlファイルを編集します。
autoDeployをfalseに変更します。先ほどそれは本当だった。
<Host appBase="webapps" autoDeploy="false"
サービスVXMLサーバを起動します。
回避策の詳細については、このアドバイザリに関連する『Applied Mitigation Bulletin(AMB)』を参照してください。AMBは次の場所にあります。
https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=28982
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
これらの脆弱性は、Cisco Unified CVPソフトウェアバージョン9.0.1 ES 11で修正されています。すべてのお客様は、このバージョン以降にアップグレードすることを推奨します。Cisco Unified CVPソフトウェアバージョン9.0.1 ES 11は、次のリンク先で入手できます。
http://software.cisco.com/download/special/release.html?config=c51444496bd899c41331b5ad20b97954
Cisco Unified CVPソフトウェアバージョン8.5.1 ES 24は、次のリンクから入手できます。
http://software.cisco.com/download/special/release.html?config=63b2b5a81375b982efe33705d44476b7
Cisco Unified CVPソフトウェアバージョン8.0.1 ES 15は、次のリンクから入手できます。
http://software.cisco.com/download/special/release.html?config=1cbb5a9aab303602c24e4422e8b72e62
Cisco Unified CVPソフトウェアのその他のダウンロードは、次のリンクから入手できます。
http://software.cisco.com/download/type.html?mdfid=270563413&catid=null
推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
これらの脆弱性は、Alex Senkevitch氏からシスコに報告されたものです。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.4 | 『Cisco Unified CVPの設定およびアドミニストレーションガイド』へのリンクを更新。 | 回避策 | Final | 2016 年 1 月 5 日 |
| 1.3 | 「回避策」セクションを更新。 | Final | 2013年8月28日 | |
| 1.2 | 8.xリリースのパッチの場所を追加。 | 2013年7月30日 | ||
| 1.1 | 「回避策とソフトウェアバージョンおよび修正」セクションを更新。 | 2013年5月10日 | ||
| 1.0 | 初回公開リリース | 2013年5月8日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。