Unified Communications Managerの脆弱性については、フランスのセキュリティ企業が6月に実施したデモで、サーバを完全に制御できることを実証したという。
米Cisco Systemsは7月17日、「Intrusion Prevention System」(IPS)ソフトウェアと「Unified Communications Manager」に関するセキュリティ情報を公開し、サービス妨害(DoS)やコード実行などの脆弱性に対処した。
セキュリティ情報によると、IPSソフトウェアにはDoSの脆弱性が複数存在し、不正なパケットなどを使って悪用される恐れがある。共通指標CVSSベーススコアによる危険度評価は、最も高いもので7.8(最高値は10.0)となっている。Ciscoは無料ソフトウェアアップデートを公開してこれら脆弱性に対処した。
一方、Unified Communications Managerの脆弱性は、リモートの認証を受けない攻撃者によるユーザー情報収集、権限昇格、コマンド実行などに利用される恐れがある。
この問題に関連してフランスのセキュリティ企業Lexfoは6月6日に実施したデモで、複数の脆弱性を組み合わせてUnified Communications Managerサーバを完全に制御できることを実証したという。
Ciscoは今回リリースしたCisco Options Package(COP)ファイルで、このうち3件の脆弱性に対処した。残る複数の脆弱性については現在調査を進めている。
Copyright © ITmedia, Inc. All Rights Reserved.