米Cisco Systemsは、同社ネットワーク機器の専用OSである「IOS」に2種類、計4個の脆弱性が存在するとし、アドバイザリを公開した。
米Cisco Systemsは4月7日、同社ルータ製品の専用OSであるIOSに2種類、計4個の脆弱性が存在するとし、アドバイザリを公開した。
脆弱性のうち1種類目は、簡易VPNサーバ機能のIKE実装に関する問題だ。鍵交換プロトコルのIKE XAUTHの処理部分と、ISAKMPの実装部分にそれぞれ脆弱性があり、細工したパケットを送りつけることで悪意あるユーザーでも認証を行い、ネットワークリソースに不正にアクセスできてしまうという。
これらの脆弱性はCisco IOS 12.2T、12.3および12.3Tに存在しており、Ciscoでは手元のバージョンを確認したうえで、問題を修正したバージョンにアップグレードするか、サポートに連絡するよう推奨している。詳細は同社のアドバイザリにまとめられている。
もう1種類の脆弱性は、IOSに含まれるSecure Shell(SSH)サーバに関するDoSの脆弱性だ。リモート管理用にSSHを有効にしている場合に影響を受ける。
具体的には2個の脆弱性がある。1つは、デバイスがSSHv2のサーバとして操作する際に特定の操作を行うことによって、機器のリロードが引き起こされるという問題。もう1つはTACACS+サーバに対してSSHユーザーを認証する設定になっている場合に、不正なユーザー名などを入力してログインに失敗するとメモリリークが起こり、DoS状態に陥るという。
Ciscoではアドバイザリを通じて問題のあるバージョンを告知し、修正版へのアップグレードを進めるとともに、回避策も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.