CiscoのUnified Communications製品に脆弱性

脆弱性を悪用されると管理者権限による任意のコマンド実行などが可能になる。

[ITmedia]

　米Cisco Systemsは4月3日、Unified Communicationsシリーズ製品の脆弱性情報を公開し、修正パッチをリリースした。

　Ciscoや仏FrSIRTのアドバイザリーによると、脆弱性はDisaster Recovery Framework（DRF）機能に存在し、ネットワーク経由で受け取ったリクエストの認証が実行されない問題に起因する。

　この脆弱性を悪用されると、リモートの攻撃者がDRF関連のタスクを実行し、サービス妨害（DoS）状態の誘発、設定情報入手、設定の上書き、管理者権限による任意のコマンド実行などが可能になる。FrSIRTの危険度評価は4段階で最も高い「Critical」。

　影響を受ける製品はCisco Unified Communications Manager (CUCM）5.x／6.x、Unified Communications Manager Business Edition、Unified Precense 1.x／6.x、Emergency Responder 2.x、Mobility Manager 2.x。

　この問題に対処したファイル「ciscocm.CSCso53771.security.patch.cop」はCiscoのサイトからダウンロードできる。