富士通取扱シスコ製品における Cisco AnyConnect の脆弱性への対応について
掲載日:2011年8月30日
2011年6月1日シスコシステムズ社より、Cisco AnyConnectの脆弱性(2件)に関するセキュリティアドバイザリが公開されました。つきましては、脆弱性の概要と弊社の対応方針をご連絡いたします。
1.概要
シスコシステムズ社より2011年6月1日に公開されたCisco AnyConnectの脆弱性に関するセキュリティアドバイザリには2件の脆弱性に関する内容が含まれています。
各脆弱性の概要、および回避策は以下の通りです。それぞれの詳細については、セキュリティアドバイザリの下記URL(英文・和文)をご参照ください。
(英文)
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b80123.shtml
(和文)
http://www.cisco.com/JP/support/public/ht/security/110/1106763/cisco-sa-20110601-ac-j.shtml
※注意※
以下内容につきましては、2011年7月12日時点での情報を元に弊社にて要約を行ったものとなります。 詳細・最新情報は英文(正式版)URLにてご確認をお願いいたします。
1-1.任意のプログラム実行の脆弱性について
1-1-1.事象について
対象版数のCisco AnyConnectを使用していて、かつVPN装置からCisco AnyConnectを自動ダウンロードしてインストールする方法を採用している場合、ダウンロード時にヘルパーアプリケーション(Javaアプレット、ActiveX)がCisco AnyConnectソフトウェアの正当性を正常に確認出来ないため、攻撃者により任意のプログラムを実行させられる恐れがあります。
1-1-2.該当製品
Cisco AnyConnect Secure Mobility Client
※ご使用のソフトウェアが該当するかについては、上記アドバイザリURL内の「Affected Products」(英文)、「該当製品」(和文)をご参照ください。
1-1-3.恒久対策
Cisco AnyConnect Secure Mobility Clientを脆弱性対処済みバージョンへバージョンアップする事により、恒久的な対策を行う事ができます。このセキュリティアドバイザリで公開されている全ての脆弱性についての修正を含むバージョンについては、上記アドバイザリURL内の「Software Versions and Fixes」(英文)、または、「ソフトウェアバージョンおよび修正」(和文)をご参照ください。
1-1-4.回避策
恒久対策を行う以外に回避策はございません。
1-2.ローカル権限昇格の脆弱性
1-2-1.事象について
対象版数のCisco AnyConnectを使用し、かつStart Before Logon (SBL) 機能を有効にしている場合、Windowsログオン画面内のCisco AnyConnectを操作することで非特権ユーザに不正な権限を取得されてしまう恐れがあります。
1-2-2.該当製品
Cisco AnyConnect Secure Mobility Client
※ご使用のソフトウェアが該当するかについては、上記アドバイザリURL内の「Affected Products」(英文)、「該当製品」(和文)をご参照ください。
1-2-3.恒久対策
Cisco AnyConnect Secure Mobility Clientを脆弱性対処済みバージョンへバージョンアップする事により、恒久的な対策を行う事ができます。このセキュリティアドバイザリで公開されている全ての脆弱性についての修正を含むバージョンについては、上記アドバイザリURL内の「Software Versions and Fixes」(英文)、または、「ソフトウェアバージョンおよび修正」(和文)をご参照ください。
1-2-4.回避策
恒久対策を行う以外に回避策はございません。
2.弊社の対応
2-1. 対応方法
弊社より購入いただいたCisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。
購入頂いた販売会社または弊社担当営業にご依頼下さい。
なお、弊社による脆弱性の対処作業をご希望される場合は、有償にてご対応いたしますので弊社営業までお問い合わせください。
2-2. 注意事項
2-2-1. 回避策の適用
回避策を講じられる場合、その設定作業などはお客様の作業になります。但し、お客様のご要望により弊社にて有償での作業を承ります。弊社による作業をご希望される場合は、弊社営業までお問い合わせください。
2-2-2. ソフトウェア選定
お客様のシステムに対応した脆弱性対処済ソフトウェアの選定、および、バージョンアップ時に必要なメモリ容量の調査については、お客様の作業になります。
但し、お客様のご要望により弊社にて有償での作業を承ります。弊社による作業をご希望される場合は、弊社営業までお問い合わせください。
2-2-3. ハードウェア要件
ソフトウェアを変更する前にハードウェア要件をよくご確認くださいますようお願いいたします。
ソフトウェアを変更された場合、フラッシュメモリ容量やメインメモリ容量などが不足する場合がございます。そのような場合には、必要となるハードウェアをお客様に追加購入していただく必要がございます。
各ソフトウェアのハードウェア要件に関しましては、シスコシステムズ社ウェブサイトのリリースノート等をご参照いただきますようお願いいたします。
Cisco Systems社製品に関するお問い合わせ
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
お問い合わせはこちら
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
