Cisco、IPテレフォニー製品の脆弱性に対処

深刻度は、共通指標CVSS 2.0のスコアで最も高い10.0となっている。

[ITmedia]

　米Cisco Systemsは1月16日、IPテレフォニー製品「Unified Communications Manager」（CUCM、旧CallManager）の脆弱性を修正するアップデートを公開した。

　脆弱性は、Certificate Trust List（CTL） Providerサービスのヒープオーバーフロー問題に起因する。悪用されるとリモートの認証を受けないユーザーがサービス妨害（DoS）状態を誘発したり、任意のコードを実行することが可能になる。

　深刻度は、脆弱性評価の共通指標CVSS 2.0のベーススコアで最も高い10.0となっている。CTL Providerサービスを使っていない時に無効にして、問題を回避することも可能。

　脆弱性が存在するのはUnified CallManager 4.0／4.1、Unified Communications Manager 4.2／4.3の各バージョン。それぞれCUCM 4.1(3)SR6、CUCM 4.2(3)SR3、CUCM 4.3(1)SR1a以降にアップデートすることで問題が修正される。

　現時点で脆弱性情報が公開されたり悪用されたとの報告は受けていないという。