Cisco、レジデンシャルゲートウェイ製品の深刻な脆弱性を修正

悪用された場合、リモートの攻撃者が細工を施したHTTPリクエストを送り付けることによって任意のコードを実行できてしまう恐れがある。

[鈴木聖子，ITmedia]

　米Cisco Systemsは7月16日、ワイヤレスレジデンシャルゲートウェイ製品の深刻な脆弱性を修正するソフトウェアアップデートを公開した。悪用された場合、リモートの攻撃者に任意のコードを実行される恐れがあり、米セキュリティ機関のUS-CERTもアップデートの適用を促している。

　同社のアドバイザリーによると、脆弱性はワイヤレスレジデンシャルゲートウェイ製品のWebサーバにおけるHTTPリクエストの不適切な入力値検証に起因する。悪用された場合、リモートの攻撃者が細工を施したHTTPリクエストを送り付けることによってバッファオーバフロー状態を誘発させ、任意のコードを実行できてしまう恐れがある。

　影響を受けるのは、DPC3212、DPC3825、EPC3212、EPC3825、Model DPC3010、Model DPC3925、Model DPQ3925、Model EPC3010、Model EPC3925などのケーブルモデムやワイヤレスレジデンシャルゲートウェイ製品。

　危険度は共通指標のCVSSベーススコアで最高値の「10.0」と評価されている。現時点でこの脆弱性を突いた攻撃などは確認されていないという。