CiscoのSecure Access Control Serverに極めて深刻な脆弱性

[鈴木聖子，ITmedia]

　米Cisco Systemsの「Secure Access Control Server（ACS）」に極めて深刻な脆弱性が発覚し、同社は8月28日付でセキュリティ情報を公開して、この脆弱性に対処した。

　Ciscoのセキュリティ情報によると、脆弱性はSecure ACSのバージョン4.0〜4.2.1.15に存在する。悪用された場合、リモートの攻撃者が細工を施したEAP-FASTパケットを送り付けることによって任意のコマンドを実行し、サーバを制御できてしまう恐れがある。

　なお、この問題はSecure ACSがRADIUSサーバとして設定されている場合にのみ発生するという。

　危険度は、共通指標のCVSSベーススコアで最も高い「10.0」と評価されている。回避策は存在しない。Ciscoは無料ソフトウェアアップデートを公開してこの脆弱性に対処している。