CiscoのUnified CallManagerに脆弱性

Unified CallManagerに2件の脆弱性が見つかり、パッチがリリースされた。

[ITmedia]

　米Cisco Systemsの統合コミュニケーション製品「Cisco Unified CallManager」（CUCM、旧CallManager）コンポーネントに2件の脆弱性が見つかった。同社は7月11日にアップデートをリリースし、問題に対処している。

　仏FrSIRTなどのアドバイザリーによると、CUCMのCertificate Trust List（CTL）Providerサービス（TCP2444ポートを利用）と、Real-Time Information Server（RIS）Data Collectorサービス（TCP2556ポートを利用）にバッファ／ヒープオーバフローの脆弱性が存在する。

　不正なリクエストを使ってこの問題を悪用されると、リモートの認証を受けない攻撃者がサービスをクラッシュさせたり、任意のコードを実行することが可能になる。

　深刻度はFrSIRTが4段階で最も高い「Critical」、Secuniaが5段階で真ん中の「Moderately critical」としている。

　脆弱性が存在する製品は、Unified CallManager 3.3/4.1/4.2、Unified Communications Manager 4.3、Unified CallManager 5.0、Communications Manager 5.1。それぞれ同社サイトでパッチを提供している。なお、Unified Communications Manager 6.0とCallManager Expressは影響を受けないという。