Ciscoが2件のセキュリティ情報を公開、コード実行の脆弱性などに対処

Wide Area Application Services（WAAS）ソフトウェアとCisco NX-OSベース製品に存在するリモートコード実行や権限昇格の脆弱性に対処した。

[鈴木聖子，ITmedia]

　米Cisco Systemsは5月21日、Wide Area Application Services（WAAS）とCisco NX-OSベース製品に関するセキュリティ情報を公開し、リモートコード実行や権限昇格の脆弱性に対処したことを明らかにした。

　WAASソフトウェアの脆弱性は、バージョン5.1.1〜5.1.1dでSharePointアクセラレーション機能を設定している場合に影響を受ける。この問題を突いて不正なSharePointアプリケーションにユーザーがアクセスするよう仕向ければ、昇格された権限で任意のコードを実行できてしまう恐れがある。

　この脆弱性の危険度は共通指標のCVSSベーススコアで「9.3」（最高値は10.0）となっている。現時点で攻撃の発生などは確認されていないという。

　一方、Cisco NX-OSの脆弱性は、同OSを搭載したCisco Nexus、Unified Computing System（UCS）、MDS 9000 Series Multilayer Switch、1000 Series Connected Grid Routers（CGR）の各製品が影響を受ける。

　脆弱性は4件あり、権限の昇格やサービス妨害（DoS）攻撃に利用される恐れがあるほか、昇格された権限で任意のコードを実行され、デバイスを完全に制御される可能性も指摘されている。CVSSベーススコアは最も高いもので「7.8」となっている。

　各脆弱性は、Ciscoがそれぞれの製品向けにリリースした無料ソフトウェアアップデートで修正された。