Cisco、IOSやCallManagerの脆弱性を修正

[ITmedia]

　Cisco Systemsは米国時間の1月18日、専用OS「Cisco IOS」やIPテレフォニーソフト「Call Manager」に脆弱性が発見されたとし、情報を公開した。悪用されればDoS状態に陥り、ネットワークが停止したり、Call Managerが正常に動作しなくなる恐れがある。同社は、修正したバージョンにアップグレードするか、設定変更などで対処するよう推奨している。

　Cisco IOSの脆弱性は、Stack Group Bidding Protocol（SGBP）の処理に関するもの。細工を施したパケットを受け取るとシステムがハングアップし、DoS状態に陥るという。ただし、SGBPプロトコルを無効にしている機器では影響はない。また、ACLを変更してポート9900へのアクセスを制御することでも、問題を回避できる。

　Call Managerの脆弱性は2種類あり、うち1つでは悪用されるとCPU使用率が高まり、やはりDoS状態に陥る恐れがある。つまり、IP電話サービスが中断したり、CallManagerに登録されていたIP電話の情報が解除されるなどして、VoIPシステムが利用できなくなる可能性がある。

　もう1つの脆弱性は、読み取り専用のアクセス権限しか持たないユーザーが、管理画面上で特殊なURLを用いることにより、管理者権限を取得できてしまうというもの。

　DoSの脆弱性ともども、Call Managerソフトウェアのアップグレードによって対処できる。