米Cisco Systemsが,スイッチ製品「Cisco CSS 11500 Series Content Services Switches(CSS)」にぜい弱性が存在するとの警告を,米国時間10月19日に発表した。SSLターミネーション・サービスが有効に設定された状態で不正なクライアント証明書を受け取ると,サービス停止の可能性がある。Cisco社は,既にこのぜい弱性を修正するソフトウエアの無償提供を開始している。
同スイッチは,レイヤー4~7で負荷分散を行うデータセンタ向け装置。受け取ったパケットのヘッダ部分を解析し,設定に従ってデータを転送する。
SSLのネゴーシエーション処理中に不正クライアント証明書を受け取ると,メモリーの整合性を確保するためにリロード処理を行うことがある。リロード処理は同スイッチがクライアント証明書を要求していない状態でも発生し,繰り返されると結果的にサービス停止に陥る。この問題は,SSLターミネーション・サービスを利用する設定のときだけ発生する。初期設定のままでは起きない。
ぜい弱性は,Cisco WebNS 7.1/7.2/7.3/7.4/7.5で運用している同スイッチのみに存在する。対策済みのバージョンは,それぞれ7.30.4.02以降,7.40.2.02以降,7.50.1.03以降。7.10および7.20を使用中のユーザーに対しては,7.30以降の対策済みバージョンへのアップグレードを推奨している。
◎関連記事
■米Cisco,Cisco IOSファイアウオールの脆弱性を公表
■米Cisco,セキュリティ管理ソフトのぜい弱性を修正するアップデータを公開
■侵入検知システム「Snort」に危険なセキュリティ・ホール,アップグレードや設定変更で対応を
■バッファ・オーバーフロー攻撃を防ぐ“万能薬”はあるか?
■マルウエアに通し番号を付ける取り組み「CME」,MITREとUS-CERTが開始
■FIRST,ITコミュニティに脆弱性評価システム「CVSS」のテストを呼びかけ
■「2005年Q2の世界ネットワーク・セキュリティ市場,前期比4%増の10億ドル規模」,米調査
■「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
[発表資料へ]